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内 容 简 介 


本 书 介 绍 了 计算 机 网 络 远 程 连接 的 规划 设计 、 运 行 管理 .网 络 信 息 安 全 的 保障 与 监测 、 网 络 用户 上 网 
行为 监管 等 实际 应 用 中 的 基础 知识 。 书 中 按照 互联 网 参考 模型 的 分 层 结构 ,从 下 层 至 上 层 , 即 按照 网 络 数 
据 包 封 装 的 逐 层 解剖 顺序 ,深入浅出 地 讨论 每 一 层 的 主流 协议 原理 与 实用 技术 ,以 及 各 层 出 现 的 现实 安全 
威胁 问题 ,图文并茂 地 列举 了 网 络 信息 安全 监管 中 的 大 量 案例 分 析 。 采 用 开源 的 网 络 数据 捕获 与 分 析 软 
件 作为 教学 实验 工具 ,每 章 附 有 习题 与 实践 课题 ,让 读者 在 自己 的 网 络 计算 机 上 理论 联系 实际 ` 由 浅 人 深 
地 边 学 习 边 实践 ,掌握 与 提高 分 析 解 决 网 络 信息 安全 系统 规划 、 运 维 监 管 中 的 实际 问题 的 能 力 。 

本 书 可 作为 通信 与 计算 机 网 络 ,信息 安全 ,电子 商务 等 相关 专业 的 本 科 生 、 研 究 生 的 教材 ,也 可 作为 计 
算 机 网 络 和 信息 安全 运 维 管理 的 工程 技术 人 员 的 参考 书 。 
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出 版 说 明 


我 国 高 等 学 校 计算 机 教育 近年 来 迅猛 发 展 ,应 用 所 学 计算 机 知识 解决 实际 问题 ,已 经 成 
为 当代 大 学 生 的 必 备 能 力 。 

时 代 的 进步 与 社会 的 发 展 对 高 等 学 校 计算 机 教育 的 质量 提出 了 更 高 、 更 新 的 要 求 。 现 
在 ,很 多 高 等 学 校 都 在 积极 探索 符合 自身 特点 的 教学 模式 ,涌现 出 一 大 批 非常 优秀 的 精品 
课程 。 

为 了 适应 社会 的 需求 ,满足 计算 机 教育 的 发 展 需要 ,清华 大 学 出 版 社 在 进行 大 量 调查 研 
究 的 基础 上 ,组 织 编写 了 《高 等 学 校 计算 机 专业 教材 精 选 》。 本 套 教材 从 全 国 各 高 校 的 优秀 
计算 机 教材 中 精 挑 细 选 了 一 批 很 有 代表 性 且 特 色 鲜 明 的 计算 机 精品 教材 ,把 作者 们 对 各 自 
所 授 计算 机 课程 的 独特 理解 和 先进 经 验 推荐 给 全 国 师 生 。 

本 系列 教材 特点 如 下 。 

(1) 编写 目的 明确 。 本 套 教材 主要 面向 广大 高 校 的 计算 机 专业 学 生 ,使 学 生 通 过 本 套 
教材 ,学 习 计 算 机 科学 与 技术 方面 的 基本 理论 和 基本 知识 ,接受 应 用 计算 机 解决 实际 问题 的 
基本 训练 。 

(2) 注重 编写 理念 。 本 套 教材 作者 群 为 各 高 校 相应 课程 的 主讲 ,有 一 定 经 验 积累 , 且 编 
写 思 路 清晰 ,有 独特 的 教学 思路 和 指导 思想 ,其 教学 经 验 具 有 推广 价值 。 本 套 教 材 中 不 乏 各 
类 精品 课 配 套 教材 ,并 努力 把 不 同学 校 的 教学 特点 反映 到 每 本 教材 中 。 

(3) 理论 知识 与 实践 相 结合 。 本 套 教 材 贯 彻 从 实践 中 来 到 实践 中 去 的 原则 , 书 中 的 许 
多 必须 掌握 的 理论 都 将 结合 实例 来 讲 , 同 时 注重 培养 学 生 分 析 问题 .解决 问题 的 能 力 ,满足 
社会 用 人 要 求 。 

(4) 易 教 易 用 ,合理 适当 。 本 套 教材 编写 时 注意 结合 教学 实际 的 课时 数 ,把 握 教 材 的 篇 
幅 。 同 时 ,对 一 些 知识 点 按 教育 部 教学 指导 委员 会 的 最 新 精神 进行 合理 取舍 与 难 易 控制 。 

(5) 注重 教材 的 立体 化 配套 。 大 多 数 教材 都 将 配套 教师 用 课件 习题 及 其 解答 ,学 生 上 
机 实验 指导 ,教学 网 站 等 辅助 教学 资源 ,方便 教学 。 

随 着 本 套 教材 陆续 出 版 ,我 们 相信 它 能 够 得 到 广大 读者 的 认可 和 支持 ,为 我 国 计 算 机 教 
材 建设 及 计算 机 教学 水 平 的 提高 ,为 计算 机 教育 事业 的 发 展 做 出 应 有 的 贡献 。 
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计算 机 网 络 安 全 和 信息 安全 是 知识 面 十 分 宽广 的 研究 领域 ,在 与 不 断 涌现 的 千变万化 
的 互联 网 安全 事件 的 攻防 对 抗 中 ,促进 了 该 学 科 的 快速 发 展 。 网 络 信息 安全 攻防 对 抗 的 博 
弈 过 程 是 永远 不 会 结束 的 ,往往 旧 的 安全 问题 还 未 彻底 解决 ,新 的 安全 问题 又 出 现 了 。 为 了 
便于 人 们 探索 解决 各 种 现实 安全 威胁 的 方法 和 途径 ,可 将 网 络 信息 安全 问题 进行 如 下 粗略 
分 类 : 

(1) 计算 机 操作 系统 的 安全 漏洞 。 常 用 的 计算 机 操作 系统 有 Windows 2003/XP、 
UNIX、Linux 等 。 在 开发 一 个 操作 系统 的 时 候 , 首 先 考 虑 的 是 如 何 实现 系统 目标 所 要 求 的 
各 种 功能 。 只 有 当 操作 系统 在 使 用 过 程 中 ,其 中 某 个 环节 被 人 恶意 利用 了 ,这 时 才 会 发 现 操 
作 系 统 的 此 环节 存在 一 个 漏洞 。 于 是 开发 者 设计 出 改进 该 环节 的 软件 补丁 ,供用 户 安 装 来 
加 强 系统 的 安全 。 因 此 在 操作 系统 的 整个 使 用 寿命 期 内 ,都 会 不 断 地 有 新 的 漏洞 发 现 ,并 且 
须 及 时 安装 补丁 软件 。 对 于 大 部 分 操作 系统 内 部 的 复杂 安全 问题 ,作为 用 户 只 能 通过 及 时 
安装 开发 商 提供 的 各 种 补丁 软件 来 解决 。 

(2) 应 用 软件 系统 的 安全 漏洞 。 人 们 在 计算 机 和 网 络 上 使 用 各 种 办 公 软 件 ,如 业务 管 
理 软件 ,财务 管理 软件 等 。 很 多 应 用 软件 的 开发 商 对 解决 自己 产品 中 的 安全 问题 不 太 在 意 ， 
他 们 大 多 通过 在 自己 开发 的 应 用 软件 中 集成 某 些 第 三 方 的 安全 软件 模块 ,或 者 完全 依赖 于 
计算 机 操作 系统 和 网 络 系统 提供 的 安全 保障 环境 。 

(3) 本 地 私有 网 络 操作 系统 的 安全 。 当 前 常见 的 网 络 操作 系统 有 以 太 网 .Microsoft 网 
络 、Net Ware 网 络 .PPP 远程 拨号 网 络 等 。 每 一 种 网 络 操作 系统 都 有 其 特点 和 适用 领域 ,也 
存在 各 自 的 安全 漏洞 和 薄弱 环节 。 计 算 机 网 络 管理 员 和 用 户 应 当 根 据 自 己 的 具体 需要 , 正 
确 地 选择 和 安装 网 络 操作 系统 ,并 且 进行 正确 的 网 络 参数 配置 。 网 络 管理 员 应 当 从 内 网 用 
户 计算 机 中 印 载 那些 不 需要 的 网 络 操作 系统 ,以 减少 其 安全 漏洞 所 带 来 的 隐患 ,净化 内 网 数 
据 环境 ,这 是 重要 的 网 管 基础 工作 。 

(4) 互联 网 协议 的 安全 漏洞 。 当 前 互联 网 的 TCP/IP 协议 族 中 ,各 分 层 包含 的 协议 共 
约 20 多 种 。 并 且 随 着 新 的 网 络 应 用 的 不 断 出 现 , 很 多 公司 都 在 自己 的 互联 网 应 用 中 采用 了 
自主 知识 产权 的 网 络 通信 协议 (例如 Web 迅雷 QQ、 网络 游戏 .PPlive 等 )。 每 种 网 络 协议 
都 可 实现 其 特定 的 功能 ,但 是 每 种 协议 都 存在 各 自 的 安全 漏洞 。 因 此 ,很 多 网 络 安全 攻击 事 
件 就 是 利用 了 某 些 协议 的 漏洞 。 

(5) 信息 安全 。 信 息 安全 提供 的 服务 可 分 为 5 类 :信息 的 保密 和 隐私 ,信息 完整 性 的 验 
证 ,信息 发 送 者 的 身份 认证 和 防 拒 认 技术 ,信息 的 隐藏 技术 ,对 网 络 实体 的 认证 技术 等 。 

(6) 物理 层 的 安全 问题 。 网 络 通信 是 通过 各 种 物理 信道 传输 的 ,其 安全 问题 包括 双 绞 
线 的 电磁 泄漏 ,无 线 信 道 的 数据 泄密 ,光纤 的 安全 防护 、 雷 电 、 地 震 、 火 灾 、 治 安 等 。 

学 习 研 究 网 络 信息 安全 知识 的 最 好 方法 是 边 学 习 边 进行 网 络 协议 数据 分 析 实 践 。 建 议 
首先 掌握 第 7 章 介绍 的 常用 DOS 命令 和 Wireshark 网 络 协议 数据 分 析 软 件 的 使 用 方法 , 然 
后 结合 本 书 中 各 章节 的 介绍 ,在 学 员 自 己 的 网 络 计算 机 上 进行 各 种 协议 数据 的 捕获 分 析 实 

和 及 名 


验 。 先 从 下 层 的 数据 链 路 协议 开始 , 逐 层 向 上 至 应 用 层 ,每 周 都 应 完成 一 个 协议 数据 实验 分 
析 报 告 。 要 求 每 个 学 员 独 立 完 成 TCP/IP 协议 族 中 包含 的 20 多 个 基本 协议 的 数据 捕获 与 
分 析 实 验 ,这 样 才能 具备 独立 地 分 析 和 解决 网 络 安全 实际 问题 的 能 力 。Wireshark 软件 最 
新 版 的 下 载 网 址 是 http://www. wireshark. org/download. html, 在 美国 的 一 些 著名 大 学 的 
网 站 上 还 提供 了 基于 Wireshark 的 网 络 与 信息 安全 的 教学 实验 资料 。 

本 教材 适用 于 本 科 生 ,人 研究生、 计算 机 网 络 信 息 安 全 的 管理 维护 人 员 和 互联 网 的 用 户 ， 
因此 分 析 研 究 的 重点 放 在 上 述 第 (3)、(4) 和 (5) 项 。 本 书 强 调理 论 联系 实际 、 深 入 浅 出 地 研 
究 分 析 网 络 信息 安全 监管 和 使 用 中 出 现 的 各 种 问题 的 原因 ,有 了 清晰 的 思路 后 ,具体 的 解决 
方案 就 有 多 种 不 同 的 选择 。 因 此 不 希望 教师 将 有 限 的 教学 课时 用 来 讲解 各 种 具体 型 号 设备 
的 操作 ,应 * 授 人 以 渔 ”, 充 分 利用 学 员 自 己 的 网 络 计 算 机 和 课外 时 间 来 完成 对 20 多 个 常用 
协议 的 数据 解剖 与 安全 分 析 实 验 。 

本 书 将 一 些 重要 的 网 络 安全 基础 理论 知识 放 在 6 个 附录 中 , 供 高 层次 的 学 员 深 入 学 习 。 
作者 在 多 年 的 教学 过 程 中 与 教师 和 学 员 们 多 有 交流 ,并 不 断 地 对 本 书 进行 修订 和 改进 。 随 
着 互联 网 的 应 用 出 现 了 很 多 新 的 变化 ,在 本 次 出 版 中 做 了 相应 的 内 容 调 整 和 补充 。 对 本 书 
做 出 部 分 贡献 的 有 申 浩 如 、 者 明 伟 、 王 哲 等 。 书 中 引用 的 有 关 资 料 源 于 参考 文献 中 , 特 向 有 
关 作者 致 以 诚挚 的 谢意 。 
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第 1 章 互联 网 及 其 应 用 概述 


本 章 先 介绍 互联 网 最 常用 的 Web 浏览 ,域名 查询 和 电子 邮件 等 的 工作 原理 ,让 读者 了 
解 互联 网 络 的 总 体 概念 ,这 是 学 习 和 研究 网 络 安全 的 基础 。 以 常见 的 网 络 应 用 为 例 简要 说 
明 : 什么 是 网 络 协议 ,计算 机 网 络 通 信 的 各 方 如 何 进 行 数据 包 的 交换 ,各 种 协议 数据 包 中 所 
包含 的 信息 ,如何 利用 网 络 协议 分 析 软 件 对 网 络 传输 的 数据 进行 实时 捕获 与 分 析 , 具 体 包含 
以 下 内 容 。 

计算 机 网 络 系 统 的 业务 与 分 层 结 构 : 一 个 十 分 复杂 的 网 络 通信 系统 可 以 分 解 成 由 一 系列 
功能 较为 单一 的 模块 或 层 (layer) 来 组 成 。 利 用 大 家 熟悉 的 互联 网 最 常用 业务 Web 浏览 、 
域名 查询 和 电子 邮件 的 工作 过 程 , 来 说 明 通 信 双 方 的 系统 中 各 对 等 层 协议 之 间 是 如 何 协 调 
工作 的 ,以 及 该 层 如 何 利用 下 层 协 议 所 提供 的 服务 。 例 子 包 括 HTTP 网 页 浏览 .DNS 域名 
查询 和 SMTP 电子 邮件 、 传 输 层 TCP 和 UDP 的 服务 、 对 等 网 络 的 文件 共享 .OSI 开放 系统 
互 连 参 考 模型 单一 路 由 进程 的 包 交 换 网 络 、 异 构 网 络 的 互联 模型 、TCP/IP 网 络 的 数据 包 
构成 。 

TCP/IP 网 络 协议 及 分 析 工 具 : TCP/IP 的 网 络 模型 ; @@TCP/IP 各 层 之 间 是 如 何 工 
作 的 ,分 析 一 个 简单 的 互联 网 络 的 实例 来 说 明 网 络 设备 的 IP 地 址 和 物理 地 址 的 作用 ,网 络 
通信 的 双方 如 何 发 送 和 接收 IP 数据 包 ,路 由 选择 的 过 程 ; 四 物理 层 、 互 联网 层 、 传 输 层 和 应 
用 层 之 间 是 如 何 协调 工作 的 ;: 四 如 何 使 用 网 络 协议 分 析 工 具 Wireshark 来 捕获 与 分 析 网 络 
传输 的 数据 ,由 此 可 以 直观 地 理解 基于 TCP/IP 协议 的 客户 机 /服务 器 之 间 的 通信 工作 

本 书 强调 必须 理论 联系 实际 进行 学 习 , 书 中 介绍 的 所 有 网 络 安全 知识 都 需要 学 员 在 自 
己 的 网 络 计算 机 上 进行 同样 的 网 络 数据 捕获 与 分 析 实 验 ,以 加 深 理解 。 因 此 对 于 具有 初步 
网 络 基础 知识 的 读者 ,建议 首先 学 习 掌握 第 7 章 介绍 的 网 络 数据 分 析 工 具 和 Wireshark( 下 
载 网 址 http://www. wireshark. org/download. html) ,然后 再 利用 这 些 工 具 从 第 1 章 开 始 
边 读 书 边 实 践 。 


1.1 网 络 应 用 与 分 层 结构 


网 络 通信 可 提供 广泛 的 服务 。 人 们 通常 使 用 网 络 与 别人 对 话 、 发 送 电子 邮件 、 传 送 
文件 .获取 信息 。 在 电子 商务 和 工业 控制 领域 使 用 网 络 执行 重要 的 功能 ,例如 : 资金 的 转 
账 , 银 行 交 易 的 自动 处 理 , 查 询 和 更 新 数据 库 的 信息 ,各 种 传感器 和 控制 数据 的 传输 。 互 
联网 越 来 越 多 地 被 用 来 提供 传统 的 由 无 线 电 和 电视 系统 所 提供 的 “广播 服务。 计算 机 
网 络 在 设计 的 时 候 应 该 考虑 到 其 灵活 性 和 可 扩展 性 , 既 要 能 够 提供 和 支持 当前 的 业务 ， 
也 要 能 适应 未 来 的 业务 发 展 。 为 了 达到 这 样 的 灵活 性 ,必须 要 对 网 络 有 总 体 的 构架 和 
规划 。 


要 使 两 个 设备 在 网 络 上 实现 有 效 通信 的 整个 过 程 是 很 复杂 的 ,必须 具备 很 多 要 素 。 早 
期 的 网 络 设计 人 员 就 意识 到 需要 建立 一 个 统一 规范 的 通信 网 络 的 体系 结构 ,将 各 种 功能 分 
类 组 织 成 一 个 相互 关联 的 形式 。 于 是 在 20 世纪 70 年 代 各 计算 机 公司 开发 了 各 自 知识 产权 
的 不 同 的 网 络 结构 规范 。 所 有 这 些 结构 的 一 个 共同 特点 是 将 通信 的 功能 分 组 归 类 为 一 组 相 
关 的 和 可 以 管理 的 “ 层 ”。 通 信 系统 的 功能 可 按 以 下 的 任务 进行 分 层 : 

(1) 从 一 台 网 络 计算 机 的 一 个 进程 与 男 一 台 网 络 计 算 机 的 一 个 对 等 进程 间 的 数据 传 
输 ,即将 网 络 的 应 用 功能 分 为 一 层 。 

(2) 在 相互 连接 的 网 络 里 通过 多 个 不 同 的 网 段 对 数据 包 进 行路 由 和 转发 ,即将 网 络 互 
联 的 传输 系统 类 型 分 为 一 层 。 

(3) 在 同一 个 网 络 内 ,将 数据 帧 从 一 台 计 算 机 的 物理 接口 传送 到 另 一 台 计 算 机 的 物理 
接口 , 即 在 同一 个 网 段 内 按 信道 的 物理 参数 进行 分 层 。 

将 执行 这 些 功 能 的 实体 按 层 的 模型 相互 到 加 起 来 ,一 个 层 工 作 于 另 一 个 层 之 上 来 实现 
通信 ,并 用 “网 络 的 分 层 结构 ?来 表示 一 组 协议 ,它们 定义 了 每 一 层 应 当 具有 的 功能 。 

将 整个 通信 过 程 分 解 为 一 释 含 若干 层 的 结构 是 简化 整个 网 络 设计 的 第 一 步 。 还 要 准 
确定 义 各 层 之 间 的 相互 关系 ,确定 每 一 层 对 上 一 层 所 提供 的 服务 ,以 及 各 层 之 间 的 接口 ， 
上 层 通 过 这 些 接 口 对 下 层 提出 服务 的 要 求 , 而 下 层 通过 接口 向 上 层 传 递 服务 的 结果 。 一 
个 清晰 定义 的 服务 和 层 间接 口 可 以 让 上 层 直 接 调用 下 层 的 服务 ,而 不 必 去 考虑 下 面 的 各 
层 如 何 实现 这 样 的 服务 。 一 旦 下 层 向 上 层 提交 并 完成 了 所 要 求 的 服务 ,下 层 的 工作 就 结 
束 了 。 同 样 ,在 任何 时 候 都 可 以 在 已 经 具有 的 某 一 层 之 上 再 引入 和 建立 新 的 服务 ,在 此 
上 层 又 可 以 开发 新 的 服务 。 这 样 就 对 网 络 未 来 的 功能 扩展 提供 了 很 大 的 灵活 性 。 反 之 ， 
如 果 将 网 络 设计 为 一 个 单一 的 整体 ,由 一 个 很 复杂 的 硬件 和 软件 来 实现 对 网 络 的 所 有 功 
能 要 求 ,这 样 的 网 络 很 快 就 会 过 时 淘汰 ,因为 要 对 它 进行 功能 扩展 和 改进 是 特别 困难 和 
昂贵 的 。 网 络 分 层 构 建 的 方案 可 以 满足 和 适应 当前 及 未 来 对 网 络 应 用 越 来 越 多 样 化 的 

每 个 开发 商 按照 网 络 各 层 定义 的 功能 和 层 间 接口 来 开发 自己 的 硬件 和 软件 产品 ,那么 
不 同 开发 商 的 产品 就 可 以 相互 组 合 起 来 构成 一 个 完整 的 网 络 系统 。 如 果 对 网 络 提出 了 新 的 
功能 需求 ,那么 就 只 涉及 某 些 层 的 功能 扩展 和 更 新 ,而 对 网 络 其 他 层 无 影响 。 


1.1.1 协议 .服务 和 分 层 结构 的 例子 


协议 (Protocol) 是 一 组 规范 , 它 规定 了 两 个 或 多 个 通信 实体 之 间 的 交互 过 程 。 在 学 习 
网 络 时 会 遇 到 各 种 协议 ,如 HTTP、FTP 和 TCP 等。 协议 的 目的 是 提供 某 种 类 型 的 通信 服 
务 , 例 如 ,HTTP 协议 可 实现 网 页 的 浏览 ,TCP 协议 可 实现 计算 机 之 间 的 字 节 流 的 可 靠 传 
输 。 本 章 将 看 到 整个 通信 过 程 可 以 被 分 组 成 一 个 协议 的 堆 芭 ,每 层 使 用 它 自己 的 协议 执行 
一 组 特定 的 通信 功能 ,并 且 每 层 都 建立 在 它 的 下 层 所 提供 的 服务 之 上 。 

这 里 使 用 大 家 熟悉 的 电子 邮件 和 网 页 浏览 为 例 来 说 明 什么 是 协议 ,以 及 两 个 相 邻 层 之 
间 是 如 何 互动 的 。 先 简单 地 讨论 ,详细 分 析 见 后 面 的 章节 。 

1. 超 文本 传输 协议 HTTP 域名 服务 DNS 和 简单 邮件 协议 SMTP 

当前 互联 网 的 大 多 数 应 用 都 是 基于 客户 端 /服务 器 (Client/Server) 关 系 结构 。 服 务 器 
站: 者 


的 进程 通过 监听 某 “端口 "来 等 待 外 来 的 请 求 。 端 口 是 一 个 地 址 ,标识 了 网 络 计算 机 上 运行 
的 一 个 特定 进程 。 端 口号 范围 是 0~65 535, 其 中 0 一 1023 是 公认 端口 号 (Well Known Port 
Number) ,1024 一 49 151 为 注册 端口 号 ,49 152 一 65 535 为 动态 的 和 私有 端口 号 ,详细 介绍 
见 附录 A。 互 联网 广泛 使 用 的 应 用 服务 都 有 固定 的 公认 端口 号 ,因此 在 网 络 计算 机 上 的 客 
户 进 程 一 旦 有 了 需要 就 可 以 马上 向 服务 器 的 众所周知 的 端口 发 出 访问 请 求 。 服 务 器 对 这 些 
请 求 提供 响应 服务 。 服 务 器 软件 通常 运行 在 后 台 , 被 称 为 后 台 守 护 程序 (Daemon) ,例如 ， 
httpd 就 指 的 是 超 文本 传输 协议 HTTP 的 服务 器 后 台 守 护 程序 。 

例 1-1 HTTP 和 Web 网 页 浏览 。 

首先 以 万 维 网 (World Wide Web,WWW) 为 例 。WWW 的 构架 可 以 让 用 户 访 问 放置 于 
互联 网 上 的 计算 机 内 的 网 页 文件 ,这 些 文件 采用 超 文本 标记 语言 HTML 等 编写 ,文件 由 文 
本 、 图 表 和 其 他 媒体 构成 ,并 通过 嵌入 在 文档 中 的 标记 互相 连接 。 万 维 网 通过 浏览 器 进行 访 
问 , 它 将 HTML 文件 翻译 显示 为 易 懂 的 图 形 化 界面 ,并 允许 用 鼠标 点 击 界面 上 的 连接 来 访 
问 其 他 网 页 文档 。 每 个 连接 向 浏览 器 提供 一 个 “统一 资源 定位 符 URL”, 它 标识 了 存放 这 些 
文件 的 计算 机 名 称 、 所 需 文档 的 存放 路 径 和 文件 名 , 详 见 第 6 章 。 

超 文 本 传输 协议 (Hyper Text Transfer Protocol, HTTP) 定 义 了 一 组 规则 ,客户 机 遵循 
这 些 规则 与 服务 器 沟通 来 获取 文件 。 这 些 规则 也 定义 了 请 求 与 响应 的 句法 结构 。 此 协议 的 
实施 中 假设 客户 机 与 服务 器 之 间 是 能 直接 交换 信息 的 。 通 常 ,客户 机 的 软件 在 发 出 请 求 之 
前 ,首先 要 与 服务 器 建立 起 一 个 双向 的 TCP 连接 , 详 见 第 5 章 。 

图 1.1 和 表 1.1 所 示 为 客户 机 向 服务 器 获取 一 个 文件 所 产生 的 进程 顺序 。 在 第 1 步 
中 ,一 个 用 户 通过 点 击 一 个 链接 来 选择 一 个 文件 。 例 如 ,浏览 器 要 获取 有 关 此 统一 资源 定位 
符 URL 的 首页 链接 : http://www. sina. com. cn/index. shtml。 


DNS 查询 :用 户 点 击 浏览 器 上 文档 的 URL 
链接 ,浏览 器 向 本 地 域名 服务 器 发 送 请 求 , 获 
取 存 放 该 文档 的 计算 机 的 人 P 网 络 地 址 


获得 了 Web 服务 器 的 IP 地 址 后 ,浏览 器 主 
动 与 服务 器 进程 建立 连接 ,一 般 是 TCP 连 
接 。 为 了 连接 成 功 ,服务 器 必须 时 刻 等 待 着 


浏览 器 运行 的 是 HTTP 客户 版 , 它 发 出 的 请 
求 中 申明 要 获取 的 文件 名 以 及 可 处 理 的 文件 
格式 等 信息 


存放 所 需 文档 的 计算 机 运行 HTTP 服务 器 
ol -- 国 版 软件 。 通 过 发 送 HTTP 回答 来 响应 客户 

SS 机 的 HTTP 请 求 , 该 应 答 包含 了 客户 机 所 需 
格式 的 文档 等 信息 


这 时 客户 机 就 可 以 观看 文档 了 。 服 务 器 等 待 
Wed € 本 一 定时 间 后 , 若 客户 机 无 后 续 请 求 , 它 就 关闭 
下 TCP 连接 


图 1.1 客户 机 从 Web 服务 器 上 获取 一 个 网 页 文档 的 过 程 


表 1.1 在 浏览 Web 网 站 的 一 个 文档 时 客户 机 与 服务 器 的 HTTP 信息 交换 


步 又 事 件 语句 内 容 
1 用 户 浏览 器 选 定 Web 服务 器 的 文档 
2 客户 端 通过 DNS 查询 找到 Web 服务 器 
IP 地 址 ,并 建立 一 个 TCP 双向 连接 
HTTP 客户 端 发 送 请 求 , 要 求 获取 文 | 、 
3 档 。 说 明 自己 使 用 的 协议 和 版 本 号 GET /news/2006118. html HTTP/1.1 
和 HTTP 服务 器 后 台 守 护 程序 监听 TCP 
的 80 端口 ,等 待 接收 客户 的 请 求 
HTTP /1.1 200 OK\n\n 
HTTP 服务 器 守护 程序 将 查询 结果 回 | Date: Thu,09 Nov 2006 09:32:44 GMT\rn\n 
复 客户 ,告诉 客户 将 要 收 到 的 信息 的 描 | Server: Microsoft IIS/5. 0\r\n 
5 述 , 文 件 长 度 和 文件 类 型 等 。 大 多 数 服 | Last Modified: Wed,08 Nov 2006 02:58 :36 GMT \r\n 
务 器 使 用 的 是 格林 尼 治 国际 标准 时 间 | Content-Length: 8218\r\n 
GMT Content-Type: text/html\r\n 
=<html> 
HTTP 服务 器 守护 程序 从 内 存 读 取 所 | 二 head 记 <title> 达 /title>… 
需 文件 ,并 将 它 通过 TCP 端口 发 给 客户 | 二 font face="Arial" 二 今日 新 闻 二 /font 二 
7 客户 机 收 到 HTML 格式 的 网 页 文件 
后 ,显示 在 浏览 器 上 
8 HTTP 服务 器 守护 程序 等 待 一 段 时 间 
空闲 后 , 断 开 与 客户 机 的 连接 


通常 客户 机 软件 必须 向 域名 服务 器 (DNS) 进行 查询 ,以 获得 域名 www. sina. com. cn 
的 主机 的 IP 地 址 ,DNS 查询 结果 为 211.95. 77. 17 .在 下 一 个 例子 中 将 讨论 DNS 是 如 何 工 
作 的 。 然 后 ,客户 端 软件 使 用 一 个 临时 端口 号 与 这 个 IP 地 址 的 Web 服务 器 的 默认 端口 80 
建立 TCP 连接 (第 2 步 )。 客 户 端的 临时 端口 号 用 于 标识 它 自 己 的 本 次 进程 ,此 临时 端口 号 
仅 用 于 本 次 连接 。TCP 协议 提供 的 是 可 靠 的 字 节 流 传输 服务 。 

当 TCP 连接 建立 后 ,客户 端 使 用 HTTP 来 请 求 获得 一 个 文件 (第 3 步 ) ,这 请 求 语句 定 
义 了 获取 的 方法 和 指令 .文件 名 和 路 径 C/news/2006118. html) ,以 及 浏览 器 使 用 的 协议 版 
本 (HTTP/1.1)。 服 务 器 守护 程序 识别 出 这 语句 中 的 3 个 要 素 , 并 在 存储 器 中 找到 这 个 文 
件 的 位 置 (第 4 步 ) 。 

在 第 5 步 中 ,守护 程序 发 送 一 条 状态 语句 (STATUS) ,对 将 要 发 送 的 信息 进行 描述 。 
应 答 码 “200" 表 示 客 户 端的 请 求 成 功 接受 , 且 所 需 文 件 附 在 后 面 。 这 些 语句 还 包括 服务 器 端 
的 软件 信息 .文件 长 度 (8218 字 节 ) ,文档 类 型 (text/html)。 如 果 是 获取 一 幅 图 片 ,文档 类 型 
可 以 为 image/gif。 如 果 请 求 失败 ,不 被 服务 器 接受 ,服务 器 会 发 送 一 个 不 同 的 响应 代码 来 
标识 查询 的 失败 ,如 *404? 代 表 所 需 文 件 未 找到 。 

在 第 6 步 中 ,HTTP 守护 程序 通过 TCP 连接 发 送 文件 ,客户 端 接收 并 显示 文件 (第 
7 步 )。 服务器 保持 此 TCP 连接 以 便 接收 该 客户 端的 后 续 请 求 。 当 此 TCP 连接 空闲 了 一 
段 时 限 后 ,服务 器 将 其 断 开 。 

从 这 个 HTTP 的 例子 可 清楚 地 看 出 ,一 个 协议 只 是 处 理 在 客户 机 和 服务 器 之 间 的 两 个 

。4。 


对 等 进程 间 的 互动 。 协 议 假 定 两 个 对 等 进程 之 间 是 直接 交换 信息 的 (忽略 中 转 过 程 ), 如 
图 1.2 所 示 。 

由 于 应 用 协议 的 客户 端 和 服务 器 端 通常 不 会 直接 连接 在 一 起 ,在 它们 之 间 必须 先 建立 
一 个 连接 。 在 此 HTTP 例子 中 ,需要 建立 一 个 双向 的 、 能 按照 正确 顺序 无 差错 地 传输 信息 
的 连接 ,TCP 协议 提供 了 这 样 的 可 靠 的 连接 服务 。 服 务 器 端的 HTTP 进程 把 要 发 送 的 网 
页 信息 放 入 缓存 中 ,TCP 实体 将 缓存 中 的 网 页 数据 分 为 数据 段 (segment) 发 送 到 客户 端的 
TCP 进程 ,如 图 1. 3 所 示 。 在 数据 段 头 部 中 含有 源 端口 地 址 和 目的 端口 地 址 。HTTP 通信 
使 用 了 由 下 一 层 的 TCP 所 提供 的 服务 ,因此 ,在 HTTP 客户 端 和 服务 器 端的 网 页 文件 传输 
实际 上 是 通过 虚拟 通道 传输 的 ,通过 TCP 等 下 层 实 体 透 明 地 转发 。 图 中 的 虚线 箭头 表示 间 
接 通 信 , 实 线 箭 头 表示 直接 互 连 。 在 后 面 ,将 会 看 到 TCP 又 依次 使 用 了 它 下 层 的 IP 层 提 供 
的 服务 。 


| ee ——=| HTIP 
客户 端 上 -一 ----------] 服务 器 
临时 上 和 公认 端口 
# 
端口 号 接口 接口 | 号 80 
I GET | 80, # ti 
Tp 一 TO 
HTTP GT “| HTTP i i 
一 一 一 一 一 | # 80 [STATUS 
客户 | STATUS ”| 服务 器 
图 1.2 HTTP 客户 端 发 出 请 求 和 图 1.3 TCP 在 HTTP 客户 端 和 服务 器 端 之 间 
服务 器 返回 响应 提供 了 一 个 传输 管道 


应 当 注 意 HTTP 应 用 协议 如 何 调用 TCP 所 提供 的 服务 。 当 HTTP 客户 需要 建立 
TCP 连接 时 ,客户 端 就 调用 “ 套 接地 址 socket address” 系 统 。 这 种 调用 类 似 于 功能 函数 调 
用 ,只 是 当 套 接地 址 的 连接 完成 后 ,控制 权 被 移交 给 操作 系统 内 核 处 理 。 套 接地 址 调用 定义 
了 一 个 确定 的 行动 步骤 ,其 中 包括 一 些 参数 ,例如 : TCP 或 UDP, 以 及 IP 地 址 和 端口 地 址 
信息 。 因 此 ,HTTP 层 与 TCP 层 之 间 的 交互 是 通过 这 些 套 接地 址 系统 调用 来 实现 的 , 详 见 
后 面 介 绍 。 

例 1-2 DNS 域名 查询 。 

在 HTTP 的 例子 里 提 到 客户 端 首先 需要 进行 域名 查询 (DNS) 以 获得 要 访问 的 主机 域 
名 的 IP 地址。 如 图 1.4 所 示 , 这 个 过 程 需要 客户 端 向 域名 服务 器 DNS 发 送 一 个 查询 消息 。 
DNS 是 设置 于 互联 网 上 很 多 主机 中 的 一 个 分 布 式 数 据 库 , 它 用 来 进行 域名 和 IP 地 址 的 转 
换 查询 ,并 提供 电子 邮件 的 路 由 信息 。 每 一 台 DNS 服务 器 持 有 和 维护 它 自己 的 数据 库 并 供 
其 他 计算 机 进行 查询 。 需 要 查询 的 计算 机 首选 访问 本 地 域名 服务 器 ,本 地 DNS 服务 器 可 能 
放 在 某 大 学 的 网 管 部 门 或 者 互联 网 服务 提供 商 ISP 那里。 这 些 本 地 域名 服务 器 可 保存 近期 
经 常 被 查询 的 域名 /IP 地 址 。 当 遇 到 不 可 解析 的 域名 查询 时 ,本 地 域名 服务 器 将 查询 请 求 
转送 给 根 域名 服务 器 ,目前 全 球 分 布 有 13 台 根 域名 服务 器 。 当 根 域名 服务 器 也 解析 不 了 
时 ,就 将 其 送 到 "域名 授权 服务 器 "”。 因 为 Internet 上 的 每 台 Web 服务 器 都 要 求 至 少 在 两 台 
授权 域名 服务 器 注册 。 如 果 一 台 指 定 的 域名 服务 器 不 能 解析 此 域名 , 它 就 查询 另 一 台 域 名 
服务 器 ,如 此 继续 直到 找到 能 够 解析 此 域名 的 DNS 服务 器 。 


Web 
DNS 域名 2 Web 
服务 器 2 到 测 服务 器 

cs 览 器 

查询 www.sina.com.cn 的 IP 地 址 
与 服务 器 建立 TCP 连 接 
http://211.95.77.17 
它 的 IP 地 址 是 211.95.77.17 
| 用 HTTP 协 议 将 网 页 传 给 客户 

时 间 时 间 时 间 


图 1.4 客户 浏览 器 先 向 DNS 服务 器 查询 Web 服务 器 的 IP 地 址 


图 1. 4 是 一 个 简单 的 例子 , 即 在 本 地 DNS 服务 器 就 得 到 查询 结果 。 表 1. 2 给 出 了 这 个 
例子 的 基本 步骤 : 当 客户 机 中 的 地 址 解析 程序 resolver 接收 到 浏览 器 的 地 址 转换 请 求 后 ， 
它 就 先生 成 第 2 步 中 的 查询 语句 。 在 此 DNS 报 文 头 部 中 的 OPCODE 字段 指出 本 消息 是 一 
个 标准 的 查询 请 求 。 请 求 中 的 问题 查询 部 分 包含 了 以 下 信息 : QNAME 标识 了 要 进行 转换 
的 域名 。DNS 服务 器 可 以 处 理 各 种 类 型 的 请 求 , 其 类 型 由 QTYPE 确定 。 在 这 个 例子 中 ， 
QTYPE 二 A 表示 要 进行 域名 到 IP 地 址 的 转换 。QCLASS 表明 需要 获得 的 是 互联 网 地 址 
(有 一 些 域名 服务 器 可 以 查询 非 IP 地 址 ) 。 在 第 3 步 中 ,客户 端 解析 程序 resolver 采用 “用 
户 数据 报 协议 UDP 将 请 求 发 送 给 本 地 DNS 服务 器 , 详 见 第 6 章 DNS 报 文 的 分 析 。 

表 1.2 DNS 域名 查询 请 求 与 回应 的 过 程 

步 又 事 件 语句 内 容 

网 络 用 户 的 浏览 器 提出 将 域名 转换 为 
IP 地 址 的 请 求 

Header: OPCODE= SQUERY 

2 地 址 解析 程序 resolver 生成 查询 报 文 Question: QNAME= www. sina. com. cn， 
QCLASS=IN,QTYPE=A 

地 址 解析 程序 将 查询 请 求 语句 封装 在 
UDP 包 中 发 送出 去 

Header: OPCODE= SQUERY. 


RESPONSE.,AA Question: QNAME= 
引 |- bn 
4 ee 到 地址 并 生成 响应 www. sina. com. cn, QCLASS=IN.QTYPE= A 


Answer: www. sina. com. cn. IN,A, 


Addr 211. 95.77. 17 


DNS 服务 器 将 查询 结果 封装 到 UDP 报 
文中 发 回 给 查询 者 


a 


在 第 4 步 中 ,由 域名 服务 器 返回 的 报 文 header 头 部 信息 中 有 响应 和 授权 代码 bit 设置 。 
此 设置 表明 响应 结果 来 自 于 一 个 本 域名 管理 的 授权 。Question 部 分 与 查询 语句 一 样 。 
Answer 部 分 含有 要 查 的 域名 及 对 应 的 地 址 。 此 部 分 紧 跟着 的 是 Time-To-Live 有 效 期 字 
段 , 它 表示 了 此 查询 结果 的 有 效 期 时 间 , 其 数值 以 秒 为 单位 。 接 下 来 的 两 个 值 是 对 应 
QCLASS 和 QTYPE 的 ,IN 表示 它 是 互联 网 地 址 ,最 后 给 出 了 本 域名 对 应 的 IP 地 址 为 
ll 7s 
区 各 号 


在 这 个 例子 中 ,DNS 查询 及 回应 是 通过 用 户 数据 报 协议 UDP 传送 的 。UDP 客户 端 先 
选择 一 个 源 临时 端口 号 和 目的 DNS 端口 53 ,附加 在 查询 报 文 上 ,并 封装 入 IP 包 , 发 送 给 
DNS 服务 器 。UDP 服务 是 面向 无 连接 的 ,此 数据 报 可 以 被 立即 发 送 , 不 需要 在 传送 前 先 建 
立 连接 。UDP 很 适合 于 这 类 实时 性 报 文 的 传输 。 

DNS 查询 的 例子 再 次 表明 了 一 个 协议 (在 这 个 例子 中 是 DNS 查询 协议 ) 只 是 关系 到 客 
户 端 和 服务 器 进程 间 的 交互 。 这 个 例子 也 说 明了 客户 端 和 服务 器 端的 消息 传输 实际 上 是 虚 
拟 通 道 传 输 的 ,间接 地 通过 UDP 数据 报 进行 。 

例 1-3 SMTP 和 电子 邮件 。 

最 后 , 举 一 个 使 用 简单 邮件 传输 协议 CSMTP) 发 送 电子 邮件 的 例子 。 表 1. 3 为 发 送 邮 
件 时 ,客户 端 与 注册 SMTP 服务 器 的 交互 过 程 。 这 个 电子 邮件 的 客户 端 有 SMTP 服务 器 的 
域名 , 它 会 首先 进行 DNS 查询 以 获得 邮件 服务 器 的 IP 地 址 。 然 后 电子 邮件 的 客户 端 程序 
必须 与 自己 注册 的 邮件 服务 器 之 间 建 立 一 个 TCP 连接 (第 1 步 )。 接 着 ,SMTP 协议 被 用 于 
执行 一 系列 的 信息 交换 ,其 中 包括 : 邮件 客户 端 标识 自己 的 身份 认证 以 及 邮件 的 接收 人 (第 
2 一 8 步 )。 用 户 输入 电子 邮件 信息 ,包括 收 件 人 的 邮箱 地 址 .邮件 的 主题 和 信件 内 容 。 当 用 
户 单 击 “ 发 送 " 时 ,电子 邮件 程序 产生 一 个 包括 上 述 信 息 和 一 些 附加 的 格式 信息 的 文件 , 例 
如 : 纯 文本 的 ASCII 码 ,或 用 * 多 功能 互联 网 邮件 扩展 MIME” 将 非 文 本 的 信息 (如 图 片 . 语 
音 等 ) 转 换 为 ASCII 编码 格式 的 报 文 。 然 后 客户 端 将 需要 传送 的 邮件 报 文 发 给 邮件 服务 器 


(第 9 一 12 步 ) ,最 后 结束 邮件 的 发 信 进 程 。 
表 1.3 发 送 电子 邮件 时 客户 机 与 邮件 服务 器 之 间 的 报 文 交换 过 程 


步 事 件 语句 内 容 
1 邮件 客户 端 程序 用 DNS 找到 SMTP 服务 器 
IP 地 址 ,并 与 其 端口 25 建立 一 个 TCP 连接 
SMTP 服务 器 守护 程序 发 送信 息 给 客户 端 程 | 220 webmail. ynu. edu. cn SMTP Send mail 
2 序 , 说 明 它 已 准备 好 接收 邮件 ,GMT 为 格林 | 8. 9. 0/8.9.0;Thu,2 Jul 2006 05 :07:59-0400 
威 治 国际 标准 时 间 (GMT) 
eh tt Hello 的 消息 ,并 标明 HO edb yi eden 
SMTP 守护 程序 发 送 一 个 250 的 消息 ,指示 | 250 webmail. ynu. edu. cn Hello sdhe@ ynu. edu. 
客户 端 可 以 开始 发 送 cn[202. 203. 44. 209] ,pleased to meet you 
5 客户 端 程序 传 出 发 送 人 的 地 址 MAIL FROM: =sdhe@ynu. edu. cn> 
如 果 成 功 ,SMTP 守护 程序 回答 一 个 包含 响 | 。 
6 应 代码 250 的 消息 250 一 sdhe@ ynu. edu. cn>***Sender ok 
7 客户 端 程序 发 出 收 件 人 的 地 址 RCPT TO: <wwl@ynu. edu. cn 二 
8 SMTP 守护 程序 回应 250 消息 250 一 wwlQ@ynu. edu. cn> Recipient ok 
客户 端 程序 发 送 一 个 DATA 消息 ,请 求 获得 
DATA 
”| 发送 邮件 许可 
SMTP 守护 程序 发 送 一 个 消息 ,允许 客户 端 | .- 。 | ug : ; 
10 发 送 邮 件 内 容 354 Enter mail,end with “” on a line by itself 


续 表 


步 又 事 件 语句 内 容 
11 客户 程序 发 送 邮 件 内 容 文本 :“ 王 先生 ,此 部 | Mr. Wang,This section on email sure needs a 
分 还 需 做 大 量 工作 …” lot of work… 
12 守护 程序 返回 信息 表明 邮件 已 被 接受 ,并 返 250 FAA00803 Message accepted for delivery 


回 此 邮件 的 ID 标识 号 
13 客户 申明 邮件 发 送 完毕 
14 SMTP 服务 器 确认 此 发 送 邮件 进程 结束 


QUIT 


221 webmail. ynu. edu. cn closing connection 


发 送 者 注册 的 邮件 服务 器 然后 将 电子 邮件 报 文 传输 给 收 件 人 注册 的 邮件 服务 器 。 要 找 
到 收 端 服务 器 的 IP 地 址 ,发 端 服务 器 要 执行 一 个 MX( 邮 件 交 换 ) 类 型 的 DNS 域名 查询 。 
收 件 人 可 以 用 “邮局 协议 版 本 3 (POPv3) ?或 “互联 网 邮件 访问 协议 IMAP4” 从 自己 注册 的 
邮件 服务 器 上 获取 电子 邮件 。 

2. TCP 和 UDP 在 传输 层 的 服务 

上 述 Email、.DNS 域名 查询 和 HTTP 网 页 浏览 的 例子 中 谈 到 如 何 使 用 下 面 传输 层 的 
TCP 或 UDP 协议 提供 的 通信 和 服务。 而 TCP 和 UDP 的 工作 又 建立 在 下 层 IP 提供 的 无 连 
接 的 网 络 层 服务 之 上 。 

用 户 数据 报 协 议 UDP 为 网 络 主机 的 进程 之 间 提 供 无 连接 的 数据 报 传送 。UDP 利用 端 
口号 来 标识 每 台 主 机 的 源 进程 和 目的 进程 。UDP 简明 而 快捷 ,但 是 不 能 保证 传输 的 可 靠 性 
和 数据 报 按 发 送 顺序 到 达 接 收 端 。 

传输 控制 协议 TCP 为 网 络 主机 的 进程 之 间 提 供 可 靠 的 字 节 流 的 传输 。 进 程 将 需要 通 
过 TCP 传送 的 字 节 写 入 缓存 。TCP 比 UDP 复杂 得 多 , 它 首先 在 两 个 主机 的 进程 间 建 立 
TCP 连接 。 为 保证 可 靠 传 输 ,TCP 使 用 了 “检验 和 ”进行 误 码 检测 ( 见 附录 B) .采用 了 数据 
重 传 和 流量 控制 算法 。 另 外 ,TCP 还 使 用 拥塞 控制 来 调节 网 络 中 的 数据 流 。 这 部 分 内 容 将 
在 后 面 讨论 。 

在 TCP 和 UDP 支持 的 很 多 已 有 的 上 层 应 用 之 外 ,还 可 以 迅速 地 开发 出 新 的 业务 。 

3. P2P 对 等 网 络 应 用 

网 络 应 用 的 构架 可 分 为 两 种 模式 : 客户 /服务 器 模式 和 P2P 对 等 网 络 模式 ( 见 图 1.5)。 
P2P 对 等 网 络 协议 (Peer to Peer Protocol) 模 式 已 经 被 广泛 地 用 于 IM 即时 信息 、 网 络 聊天 、 
网 络 视频 ,文件 共享 等 应 用 中 。 安 装 了 P2P 应 用 软件 的 普通 网 络 计算 机 不 仅 可 作为 客户 机 


中 


客户 /服务 器 


ES 
客户 /服务 器 
客户 端 客户 端 客户 端 客户 /服务 器 客户 /服务 器 
(a) 客户 端 /服务 器 模式 (b) P2P 对 等 网 络 模式 


图 1.5 客户 /服务 器 模式 与 P2P 对 等 网 络 模式 


向 外 请 求 获取 服务 ,而 且 也 可 作为 服务 器 向 外 提供 服务 。 当 一 台 P2P 计算 机 要 查找 某 一 个 
文件 时 , 它 就 向 网 络 上 发 送 查 询 请 求 。 在 返回 给 它 的 应 答 报 文中 提供 了 存 有 该 文件 的 很 多 
P2P 对 等 计算 机 的 IP 地 址 列表 ,以 及 每 台 P2P 对 等 机 的 信息 ,例如 它 连 接 到 互联 网 的 速度 
等 附加 信息 。 然 后 这 台 查 询 主 机 从 收 到 的 地 址 列表 中 选择 一 台 合 适 的 对 等 主机 ,与 其 建立 
连接 ,继而 从 中 获取 该 文件 。 

P2P 对 等 文件 共享 网 络 的 技术 难点 在 于 管理 对 等 主机 的 数据 库 , 这 些 对 等 主机 可 
被 随时 连接 ,并 可 随时 提供 可 共享 的 文件 。Napster 使 用 集中 式 地 址 数据 库 的 方案 ,其 
中 的 每 台 对 等 主机 若 有 可 共享 文件 或 需要 查询 文件 时 都 可 以 被 联系 上 。Gnutella 的 方 
案 使 用 了 分 布 式 机 制 , 网 络 中 的 对 等 主机 通过 跟踪 相 邻 的 对 等 机 来 自我 组 织 ,形成 相 
互 重合 的 子 网 络 。 当 某 一 对 等 主机 发 出 查询 请 求 时 , 它 就 将 查询 请 求 广 播 到 邻居 中 
去 , 若 无 回 应 ,再 广播 到 邻居 的 邻居 中 ,如 此 扩展 直 传 到 由 TTL 生存 期 所 允许 的 最 大 
网 段 跳 数 。 

P2P 对 等 机 的 文件 共享 网 络 是 与 客户 机 /服务 器 结构 不 同 的 另 一 类 互联 网 应 用 领域 ,在 
此 领域 中 每 个 新 的 P2P 业务 和 应 用 都 可 很 快 地 在 互联 网 上 开发 和 推广 ,但 也 同时 带 来 了 若 
干 法 律 的 .知识 产权 方面 的 .商业 和 信息 安全 等 方面 的 问题 。 很 多 P2P 应 用 的 开发 商 对 此 
采用 了 不 同 的 解决 方案 ,尽管 得 到 了 广泛 应 用 ,但 至 今 毁 誉 参半 ,仍然 面临 很 大 的 挑战 。 详 
细 参 看 第 12 章 的 介绍 。 


1.1.2 开放 系统 互 连 OSI 模型 及 规范 化 描述 


早期 由 不 同 计算 机 制造 商 开 发 的 网 络 体系 架构 互 不 兼容 ,这 使 得 用 户 不 得 不 固定 使 用 
同一 个 厂商 的 产品 。 在 1970 年 ,出 现 了 要 求 建立 一 个 统一 的 开放 系统 架构 的 压力 ,以 使 不 
同 计算 机 网 络 设备 商 的 产品 能 互通 互联 。 这 促使 国际 标准 化 组 织 ISO (International 
Standard Organization ) 开发 了 “开放 系统 互 连 OSI 参考 模型 ”(Open System 
Interconnection Reference Model) ,后 来 又 开发 一 系列 相关 的 标准 协议 。OSI 模型 将 整个 通 
信 过 程 分 割 为 7 个 层次 , 它 提供 了 一 个 研究 整个 通信 进程 的 构架 ,方便 了 各 层 标 准 的 制定 和 
建立 。OSI 模型 提供 了 统一 的 层 结构 .协议 和 服务 的 总 体 概 念 ,为 如 今 使 用 的 网 络 标准 黄 定 
了 基础 。OSI 中 英文 单词 open 的 含义 是 : 该 参考 模型 仍然 是 可 以 被 充实 演变 和 发 展 的 。 

1. 开放 系统 互 连 OSI 的 7 层 模型 

现在 来 看 计算 机 A 与 计算 机 B 中 的 一 个 应 用 进程 之 间 的 通信 过 程 。 图 1. 6 为 OSI 参 


应 用 一 ----------------------------- 一 应 用 B 
应 用 层 | 一 | 应 用 层 
表示 层 | 一 一 | 雪 示 层 
会 话 层 “| ------------------------------- 一 | 会话 层 
传输 属 “ | 一 -= 一----------------=------ 一 | “传输 屋 


网 络 层 “” |-- 一 | _ 网络 层 “~| 网 络 层 |-- 一 | 网 络 层 
数据 链 路 层 | 王 -- 一 | 数据 链 路 层 = 一 | 数据 链 路 层 | 王 -- 盖 | 数据 链 路 层 
物理 层 物理 层 物理 层 物理 层 


| 1 1 a | 


通信 网 络 (路 由 器 、 交 换 机 等 ) 
图 1.6 国际 标准 化 组 织 ISO 的 开放 系统 互 连 OSI 参考 模型 


考 模型 , 它 将 计算 机 A 与 计算 机 B 之 间 的 通信 分 为 7 个 层 (Layer) 的 处 理 过 程 。 图 中 的 虚 
线 箭头 表示 两 个 实体 之 间 的 数据 传输 是 通过 "虚拟 的 连接 ?进行 的 , 即 数据 是 通过 了 各 种 中 
介 的 转发 。 实 线 箭头 表示 两 个 实体 之 间 的 通信 是 通过 直通 的 连接 进行 的 。 下 面 讨论 从 底层 
(物理 层 ) 到 顶层 (应 用 层 ) 的 每 层 功 能 。 

(1) 物理 层 : 负责 处 理 通 信 信 道中 的 比特 传输 ,如 数字 传输 信道 规范 和 媒体 等 。 媒 体 
包含 双 绞 线 、 同 轴 电 缆 、 无 线 信道 或 者 光纤 。 该 层 还 涉及 如 线路 电压 大 小 、 信 号 周期 等 传输 
参数 ,此 外 还 有 如 何 建立 和 释放 物理 连接 ,以 及 插座 类 型 、 插 脚 数目 等 物理 方面 的 规定 。 例 
如 ,以 太 网 的 物理 层 标准 定义 了 网 卡 的 连接 器 和 双 绞 线 信号 参数 等 。 

(2) 数据 链 路 层 : 负责 在 同一 个 网 络 中 直接 相连 的 两 个 节点 间 的 数据 帧 传输 。 数 据 链 
路 层 将 所 传送 的 数据 分 段 成 为 帧 (Frame) ,在 帧 头 部 中 插入 帧 的 边界 标识 、 控 制 字 段 和 地 址 
信息 ,另外 在 帧 的 尾部 还 包含 用 于 检验 传输 错误 的 检 错 码 , 以 及 流量 控制 。 在 传输 误 码 率 较 
高 的 信道 环境 下 ,例如 电话 线路 ,移动 通信 信道 等 ,数据 链 路 层 的 控制 显得 异常 重要 。 过 去 ， 
数据 链 路 层 曾 被 用 于 包括 将 若干 终端 连接 到 同一 台 主 机 的 点 对 多 点 的 网 络 模式 。 

OSI 数据 链 路 层 的 定义 包含 了 以 太 局 域 网 LAN(Local Area Network) 的 功能 ,其 特征 
是 使 用 广播 传输 的 模式 。“ 链 路 ”的 概念 包含 了 多 个 节点 连接 到 同一 个 广播 总 线 的 情况 , 数 
据 帧 直接 在 节点 间 传 输 。 需 要 用 一 个 “公共 媒体 访问 控制 程序 ”协调 各 主机 送 入 媒体 的 信息 
传输 。 数 据 链 路 层 使 用 平面 的 地 址 空间 ,以 便 每 个 主机 都 可 以 监听 和 识别 传 给 它们 的 数据 
帧 。 第 3 章 将 介绍 以 太 网 Ethernet LAN 标准 。 

(3) 网 络 层 : 提供 了 在 通信 网 络 中 以 包 (Packet) 的 形式 进行 数据 传输 的 功能 。 网 络 层 
的 一 个 重要 方面 就 是 使 用 分 层次 的 地 址 方案 , 它 标 识 了 连接 到 的 网 络 号 码 以 及 节点 号 码 ,这 
可 适应 大 型 网 络 用 户 的 情况 。 终 端 对 终端 传输 数据 包 的 一 个 重要 方面 ,就 是 从 源 端 出 发 经 
过 网 络 到 达 目 的 端的 包 路 由 选择 ,一般 而 言 , 包 需 要 经 过 多 个 互联 的 网 络 和 网 段 节点 的 接力 
传递 。 路 由 协议 指 的 是 在 网 络 中 选择 路 径 的 过 程 。 网 络 中 的 结 点 必须 协调 工作 以 使 路 由 能 
有 效 地 完成 。 这 使 得 网 络 层 在 参考 模型 中 是 最 为 复杂 的 。 网 络 层 还 需要 解决 包 传 输 过 程 中 
的 拥塞 问题 ,这 是 经 常 发 生 的 ,原因 主要 由 于 短 时 包 流 量 的 浪 涌 而 产生 。 

如 图 1.6 所 示 ,网 络 中 的 每 个 中 间 结 点 ( 即 连接 不 同 网 段 的 网 关 、 交 换 机 、 路 由 器 等 设 
备 ) 都 必须 执行 OSI 模型 的 下 面 三 层 的 功能 。 因 此 在 网 络 中 传输 路 径 的 每 一 跳 段 都 有 一 对 
网 络 层 实体 存在 。 注 意 ,在 源 端 A 与 目的 端 B 之 间 的 网 络 层 实体 不 是 对 等 的 进程 , 即 它们 
之 间 是 通过 中 间 结 点 的 转发 进行 虚 连接 ,它们 一 般 不 能 直接 相互 通信 。 

如 图 1.7 所 示 , 当 通 信 各 方 的 计算 机 连接 到 同类 型 的 包 交 换 网 络 的 情况 下 ,就 使 用 同样 
的 网 络 地 址 空间 和 路 由 程序 。 然 而 , 当 通 信 各 方 的 计算 机 连接 到 不 同类 型 网 络 时 ,IP 数据 
包 的 传输 必须 通过 两 个 或 更 多 异 构 的 网 络 ,各 网 络 内 的 路 由 和 地 址 方案 可 能 不 同 。 在 这 种 
情况 下 ,就 需要 在 连接 各 异 构 网 络 间 的 网 关 / 路 由 器 上 对 接力 传输 的 IP 包 进 行 不 同 的 低层 
封装 转换 ,如 图 1.8 所 示 。 网 关 还 必须 处 理 各 个 不 同 网 络 内 部 的 地 址 空间 差异 ,以 及 不 同类 
型 的 网 络 能 够 处 理 和 传输 的 数据 包 长 度 不 同 的 问题 。 位 于 网 络 层 的 网 关 的 责任 是 将 底层 网 
络 的 技术 细节 对 上 层 进行 隐藏 。 这 对 于 远程 网 络 互联 ,以 及 在 各 种 异 构 网 络 之 间 完 成 数据 
包 的 协同 传输 是 很 重要 的 。 

(4) 传输 层 : 负责 为 信 源 主机 和 信 宿 主机 双方 的 通信 进程 提供 终端 到 终端 的 信息 传输 
服务 。 传 输 层 协议 接收 高 层 的 信息 ,并 将 信息 分 块 为 TCP 的 段 (Segment) 或 UDP 的 数据 

a 


主机 


主机 


图 1.7 同类 的 包 交 换 网 络 互联 使 用 相同 的 地 址 空间 和 路 由 程序 


图 1.8 异类 网 络 之 间 的 PP 包 传输 需 通过 网 关 进 行 转换 


报 (Datagram) 以 便 在 两 个 终端 的 计算 机 之 间 传 输 。 传 输 层 使 用 其 下 面 的 网 络 层 提供 的 服 
务 ,为 会 话 层 提供 满足 一 定 服务 质量 (Quality of Service, QoS) 的 服务 。 传 输 层 能 提供 以 下 
服务 : 一 方面 ,传输 层 可 以 提供 面向 连接 的 服务 , 它 可 以 提供 无 差错 的 字 节 流 或 信息 的 传 
输 。 通 过 相应 的 协议 完成 错误 检测 和 恢复 、 顺 序 纠正 及 流量 控制 .例如 TCP 协议 。 另 一 个 
方面 ,传输 层 也 可 以 提供 无 确认 的 无 连接 的 服务 ,此 时 它 传输 独立 的 单个 信息 ,例如 UDP 
协议 。 在 这 种 情况 下 ,传输 层 的 作用 主要 是 提供 准确 的 地 址 信息 以 便 数据 能 准确 地 到 达 远 
端的 目标 进程 。 传 输 层 可 以 被 用 来 将 太 长 的 消息 报 文 划分 为 较 短 的 数据 段 ,以 方便 下 层 网 
络 传 输 , 同 时 负责 在 接收 端 将 这 些 数据 段 重新 组 装 为 原来 的 消息 报 文 。 

在 TCP/IP 网 络 中 ,进程 一 般 通 过 端口 号 所 标识 的 套 接 字 (Socket) 接 口 访问 传输 层 。 
在 本 章 的 后 面 将 讨论 关于 套 接 字 地 址 的 内 容 。 

传输 层 负责 建立 和 释放 通过 网 络 的 连接 ,为 了 能 更 好 地 利用 网 络 层 提供 的 服务 ,传输 层 
可 能 会 将 几 个 传输 层 的 连接 用 多 路 复 用 的 方式 接 到 一 个 网 络 层 的 连接 上 。 另 一 方面 ,为 了 
满足 高 吞吐 量 的 传输 层 连接 的 需要 , 它 也 可 能 会 使 用 流量 分 路 的 方法 利用 几 个 网 络 层 的 连 
接 来 支持 同一 个 传输 层 的 数据 流 。 

如 图 1.6 所 示 ,OSI 模型 上 面 的 四 层 是 终端 对 终端 的 虚 连接 ,相互 通信 是 在 网 络 终端 的 
对 等 进程 之 间 交 互 。OSI 参考 模型 的 下 面 两 层 (数据 链 路 层 和 物理 层 ) 仅 涉及 同一 个 网 络 中 
单 跳 网 段 之 间 的 对 等 进程 交互 ,例如 局 域 网 中 一 台 主 机 网 卡 到 另 一 台 主 机 网 卡 的 连接 。 

(5) 会 话 层 : 用 于 控制 数据 交换 传输 的 方式 。 例 如 ,一 些 特殊 的 应 用 需要 以 一 种 半 双 
工 的 会 话 形式 ,双方 轮流 交替 发 送信 息 ; 另 一 些 应 用 需要 提供 同步 点 来 标识 一 个 交互 过 程 的 
进度 ,这 些 同步 点 可 以 作为 在 错误 恢复 时 的 起 点 。 例 如 ,这 类 服务 对 于 那些 要 在 误 码 率 高 的 
线路 连接 上 传输 很 长 的 文件 时 就 很 有 用 。 

(6) 表示 层 : 作用 是 让 应 用 层 不 必 考 虑 各 种 不 同 的 数据 表示 方式 。 原 理 上 ,表示 层 应 
当 首先 将 应 用 A 提供 的 与 其 机 型 相关 的 数据 格式 转换 为 与 机 型 无 关 的 通用 数据 格式 ,经 过 
传输 后 又 将 与 机 器 无 关 的 通用 数据 格式 转换 为 适合 另 一 方 的 应 用 B 的 与 其 机 型 相关 的 数 
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据 格式 。 例 如 ,不 同 的 计算 机 使 用 不 同 的 编码 来 表示 字符 和 整数 ,以 及 不 同 的 规范 中 ,对 字 
节 中 的 第 1 位 还 是 最 后 1 位 为 标志 位 有 不 同 的 约定 。 

(7) 应 用 层 : 作用 是 向 用 户 提 供应 用 服务 。 在 万 维 网 的 例子 中 ,浏览 器 使 用 应 用 层 协 
议 访问 服务 器 中 的 WWW 文档 。 应 用 层 协 议 包 括 : FTP 用 于 文件 传输 ,TELNET 虚拟 终 
端 远程 登录 ,SMTP 电子 邮件 ,DNS 域名 服务 ,SNMP 网 络 管理 及 其 他 应 用 。 

如 图 1. 9 所 示 ,应 用 A 发 送 数据 给 应 用 B, 在 发 送 端 将 数据 从 上 层 通过 接口 传输 至 下 层 
时 ,通常 每 层 都 在 来 自 于 上 层 的 数据 包 ( 即 本 层 的 服务 数据 单元 ,service data unit,SDU) 前 面 添 
加 一 个 头 部 head, 有 时 要 加 一 个 尾部 tail, 这 样 就 构成 了 本 层 的 协议 数据 单元 (protocol data 
unit, PDU) ,然后 再 传 到 下 层 。 在 接收 端 ,每 层 从 下 层 获 取 传 给 本 层 的 协议 数据 单元 , 读 取 它 的 
头 部 内 的 信息 ,以 执行 在 本 层 要 采取 的 操作 ,然后 移 去 本 层 对 应 的 头 部 和 尾部 ,将 数据 包 ( 即 本 
层 的 服务 数据 单元 ) 传 给 上 一 层 。 最 后 应 用 B 取 出 应 用 A 发 给 自己 的 数据 Data。 


应 用 A 应 用 B 
Data FF--—-------------- ns 

应 用 层 ahH-------------- 一 | ”应 用 层 

表示 层 p------------- 一 | ”表示 屋 

会 话 层 Tsh}----------- 会 话 层 
sa ET 传输 层 

网 络 层 [Tai ======= 网 络 层 

数据 链 路 层 | [dt I rT = | 获 据 钵 路 层 
物理 层 Bits 物理 层 


1 


图 1.9 发 送 端 将 数据 包 下 传 到 每 一 层 时 被 加 上 该 层 头 部 和 尾部 再 依次 传 给 下 一 层 


国际 标准 化 组 织 ISO 的 一 个 目标 是 计算 机 网 络 标准 的 制定 ,此 目标 细 化 了 OSI 参考 模 
型 中 各 层 的 具体 使 用 的 协议 。 然 而 ,在 开发 OSI 协议 标准 的 同时 .TCP/IP 网 络 结构 作为 开 
放 系 统 互 联 OSI 的 蔡 代 物 出 现 了 。TCP/IP 协议 作为 Berkeley UNIX 的 标准 发 布 ,保证 了 
互联 网 的 各 种 应 用 的 开发 ,从 而 出 现 了 网 络 软件 的 市 场 ,导致 了 TCP/IP 网 络 结构 主导 地 位 
的 确定 。 但 是 随 着 互联 网 中 各 种 补充 的 安全 协议 的 加 入 ,OSI 参考 模型 仍然 是 最 完善 的 。 

在 分 层 的 计算 机 网 络 模型 中 (无 论 是 OSI 或 TCP/IP 模型 ) 数 据 的 传输 是 一 个 封装 
(Cencapsulation) 与 解 封装 的 过 程 。 在 发 送 端 自 上 而 下 依次 封装 数据 , 逐 层 增加 头 部 (尾部 ) 
信息 ,而 在 目的 端的 处 理 过 程 相反 ,是 自 下 而 上 逐 层 去 掉头 ( 尾 ) 部 的 解 封装 过 程 。 

发 送 端 进行 数据 封装 的 过 程 : 从 应 用 层 获取 用 户 报 文 (massage) 习 表示 层 将 数据 转换 
成 需要 的 格式 一 传输 层 构成 分 段 (segment) 一 网 络 层 构 成 分 组 (packet) 一 数据 链 路 层 构 成 
帧 (frame) 一 物理 层 进行 比特 流 的 传输 。 在 接收 端 逐 层 解除 封装 .取出 数据 包 的 处 理 过 程 与 
发 送 方 相反 。 

2. 关于 层 ,协议 和 服务 的 规范 化 分 析 

OSI 开放 系统 互联 参考 模型 的 最 大 贡献 在 于 对 系统 的 各 层 .协议 和 服务 提出 了 一 套 统 
一 的 规范 化 描述 (unified view) 。 在 一 个 网 络 构架 中 不 同 的 层 间 协议 分 析 也 需要 这 样 的 规 
范 化 描述 ,例如 : 地 址 、 多 路 复 用 、 错 误 检测 和 流量 控制 等 。 这 种 描述 方法 可 以 更 容易 理解 
不 同 层 的 协议 的 共性 。 一 台 网 络 主机 中 的 每 一 层 与 另 一 台 网 络 主机 中 的 对 等 进程 通过 一 个 
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对 等 接口 (peer interface) 进 行 会 话 , 如 图 1. 10 所 示 。 在 每 一 层 都 有 该 层 的 对 等 通信 协议 。 
在 OSI 模 型 中 ,第 nn 层 的 进程 被 称 为 “n 层 的 实体 Centity)”。 而 收发 双方 的 第 n 层 对 等 实体 
之 间 通 过 交换 该 层 的 协议 数据 单元 进行 通信 。 每 个 PDU 包含 一 个 头 部 (其 中 包含 协议 控 
制 信息 ) 和 服务 数据 单元 ( 即 上 层 用 户 信 息 )。n 层 实 体 的 行为 规范 遵循 n 层 的 协议 规定 ,在 
HTTP 的 例子 中 ,HTTP 客户 机 和 服务 器 之 间 的 交互 就 是 一 个 对 等 进程 。 在 它 下 层 进行 数 
据 段 的 发 送 与 接收 的 TCP 层 也 执行 该 层 的 对 等 进程 。 


| | -一 | n+l 层 
实体 对 等 接口 实体 
[人 (entity) 
下 下 | 
1m-SAP | 1 服务 接口 n-SAP 
nsput | 下 | 


PPDU Am 层 实 体 一 一 | " 层 实体 
Layern Layern (entity) eo (entity) 
Entity < Entity Hln-SDU 
nn 层 实体 | 一 | 7 层 实 体 n-PDU 


(a) 对 等 接口 通信 (b) SDU 在 相 邻 层 间 交换 ,而 PDU 在 对 等 层 之 间 交换 
图 1.10 PDU、SDU.n 层 实体 和 接口 的 概念 


通信 双方 的 各 层 对 等 进程 之 问 的 通信 是 通过 间接 连接 进行 的 ,因此 称 为 虚拟 连接 的 通 
信 。 要 进行 通信 ,n 十 1 层 的 实体 要 利用 n 层 所 提供 的 服务 , 它 将 十 1 层 的 PDU 通过 一 个 
软件 接口 “n 层 服 务 接 和 人 点 n-SAP(Service Access Point)” 送 到 nn 层 , 就 成 为 n 层 的 服务 数据 
单元 n-SDU, 如 图 1.10(b) 所 示 。 每 个 服务 接 入 点 (SAP) 由 一 个 唯一 的 端口 号 来 标识 , 例 
如 ,1.1.1 节 讨论 的 Web 服务 器 进程 就 是 通过 端口 号 80 将 信息 送 到 TCP 层 ,因此 “传输 层 
的 SAP” 就 是 80 端口 。 在 nn 层 和 nn 十 1 层 实体 间 传 递 的 信息 包 n-SDU 就 是 (n 十 1)-PDU。 
发 送 方 的 nn 层 实 体 在 n-SDU 前 面 加 上 一 个 头 部 就 构成 mn-PDU, 头 部 中 包含 n 层 的 控制 信 
息 。 接 收 方 的 对 等 层 n 收 到 nn-PDU 后 ,使 用 其 头 部 的 控制 信息 执行 层 协议 所 要 求 的 操 
作 , 如 果 没 有 问题 ,就 将 n-SDU 取出 送 往 上 面 n 十 1 层 的 实体 。 当 nn-SDU 送 到 nn 十 1 层 的 进 
程 后 ,n 层 的 通信 进程 就 结束 了 。 可 以 结合 1.1.1 节 DNS 域名 查询 的 语句 构成 过 程 ,加 深 
对 此 虚拟 连接 通信 过 程 的 理解 。 

原则 上 n 层 协议 不 使 用 nn-SDU 里 面包 含 的 信息 ,因此 可 以 认为 n-SDU, 即 (十 
1)-PDU ,被 封装 在 n-PDU 中 。 这 个 “封装 ”的 过 程 就 将 相 邻 层 之 间 的 关系 具体 化 为 “服务 的 
定义 ”, 换 句 话说 ,n 十 1 层 是 nn 层 的 服务 对 象 , 它 只 关心 如 何 得 到 自己 的 (n 十 1)-PDU, 而 不 
关心 nn 层 以 下 各 层 是 如 何 工作 的 。 

发 端 n 层 提供 的 服务 只 是 从 上 面 n 十 1 层 接收 数据 包 , 将 此 数据 包 传 到 收 方 的 nn 层 对 等 
层 ,该 层 再 将 数据 包 传 到 上 面 的 nn 十 1 层 。n 层 对 等 层 间 的 通信 可 以 是 “面向 连接 ”的 ,或 者 
“面向 无 连接 ”的 。 面 向 连接 的 通信 (类 似 打 电话 的 过 程 ) 分 为 下 述 建立 连接 、 传 输 信息 和 断 
开 连 接 3 个 阶段 ， 

第 1 阶段 : 在 通信 双方 的 nw-SAP(n 层 服务 接 入 点 ) 之 间 建 立 一 个 连接 。 建 立 连接 的 过 
程 包含 : 协商 本 次 连接 采用 的 参数 ,以 及 初始 化 状态 信息 ,如 包 的 序列 号 ,流量 控制 变量 、 指 
定 缓存 空间 大 小 等 。 
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第 2 阶段 : 使 用 层 协 议 传输 服务 数据 单元 n-SDU。 

第 3 阶段 : 传输 结束 后 断 开 连 接 ,释放 连接 期 间 占 用 的 各 种 通信 资源 。 

在 1.1.1 节 的 HTTP 例子 中 ,HTTP 客户 进程 使 用 TCP 提供 的 连接 传输 HTTP- 
PDU ,其 中 包含 了 请 求 获取 的 网 页 的 URL 地 址 。 在 HTTP 的 客户 和 服务 器 进程 之 间 建 立 
了 一 个 TCP 连接 , 它 执行 TCP 协议 规定 的 发 送 / 接 收 任务 ,提供 一 个 可 靠 的 传输 通道 来 交 
换 HTTP-PDU。 当 服务 器 将 一 个 或 多 个 HTTP 响应 包 发 给 客户 端 收 到 后 ,TCP 连接 就 断 
天 于 

无 连接 的 通信 服务 (类 似 发 送 手机 短信 ) 的 过 程 , 不 需要 建立 连接 ,每 个 SDU 直接 通过 
SAP 传输 。 此 时 ,从 2 十 1 层 传输 到 nn 层 的 控制 信息 必须 包括 传输 SDU 所 需 的 全 部 地 址 信 
息 。 在 域名 查询 服务 DNS 的 例子 中 ,UDP 协议 提供 了 无 连接 的 服务 来 传输 DNS-PDU 。 在 
DNS 客户 机 和 服务 器 进程 之 间 不 需要 建立 连接 。 

通常 ,一 个 系统 中 的 上 下 各 层 没 有 必要 运行 于 同样 的 连接 模式 下 。 例 如 ,TCP 向 上 层 
提供 的 是 面向 连接 的 服务 ,但 是 它 的 下 面 IP 层 所 提供 的 是 无 连接 的 服务 。 

各 层 所 提供 的 服务 可 以 是 “ 需 确认 的 ?或 “不 需 确 认 的 ”, 这 取决 于 发 送 方 是 否 需 要 接收 
方 收 到 信息 后 返回 一 个 确认 信息 。 就 像 在 邮局 , 寄 挂 号 信和 是 一 种 在 收 到 后 需 向 发 信 方 返回 
确认 信息 的 服务 ,而 寄 平 信和 是 不 需要 收 信 方 发 回 确认 信息 的 。 连 接 的 建立 就 是 一 种 需 确 认 
的 服务 。 注 意 ,无 连接 的 服务 可 以 是 需 确 认 的 ,也 可 是 非 确认 的 ,这 取决 于 发 送 方 是 否 要 求 
接收 方 返 回 一 个 回执 信息 。 

各 层 实体 之 间 每 次 发 送 的 数据 长 度 范 围 各 不 相同 ,可 从 几 个 字 节 到 几 兆 字 节 ,或 者 是 连 
续 不 断 的 字 节 流 。 例 如 : 以 太 网 数据 帧 的 长 度 范 围 规定 在 64 一 1518B 之 间 。 当 所 需要 传输 
的 信息 字 节 数 超过 了 该 层 所 允许 的 最 大 传输 长 度 (MTU) ,就 要 将 信息 分 段 为 适当 大 小 的 数 
据 包 。 包 的 最 大 长 度 取决 于 传输 系统 的 若干 因素 ,一 般 对 于 误 码 率 较 高 的 信道 ,例如 电话 信 
道 和 移动 通信 无 线 电 信道 ,其 数据 包 的 最 大 允许 值 较 小 , 约 200B 以 下 。 因 为 当 频 繁 出 现 误 
码 丢 包 和 数据 包 重 传 时 ,如 果 每 个 包 很 长 会 因为 经 常 丢 包 重 传 而 使 通信 效率 降低 ,如 果 包 较 
小 则 可 维持 较 高 的 信道 传输 效率 。 误 码 率 较 低 的 信道 ,数据 包 的 MTU 可 长 一 些 ,但 是 在 一 
个 随机 争 用 共享 媒体 的 信道 里 ,如 果 数 据 包 太 大 , 则 导致 其 他 用 户 等 待 时 间 太 长 ,影响 多 媒 
体 、 音 频 、 视 频 等 实时 性 数据 的 传输 。 因 此 不 同 的 传输 网 络 对 数据 包 的 最 大 尺寸 限制 MTU 
的 范围 不 同 。 

在 图 1.11(a) 中 ,n 层 的 服务 数据 单元 SDU 太 大 ,超过 了 "一 1 层 所 能 传输 的 范围 ,因此 
就 采用 了 在 发 送 端 分 段 和 在 接收 端 组 装 还 原 的 方法 。 将 mn-SDU 分 为 多 个 n-PDU ,然后 利 
用 "一 1 层 的 服务 进行 传输 。 接 收 端 的 nn 层 实 体 收 到 这 几 个 n-PDU 后 ,必须 将 它们 重新 组 
装 还 原 出 原来 的 n-SDU。 例 如 , 当 以 太 局 域 网 传输 的 一 个 长 度 为 1500B 的 IP 包 , 如 果 在 网 
络 出 口 处 要 通过 调制 解 调 器 Modem 的 电话 系统 接 入 互联 网 时 ,就 需要 进行 这 样 的 分 段 和 
重组 。 

男 一 方面 , 当 ww-SDU 太 小 ,导致 不 能 充分 利用 "一 1 层 所 提供 的 传输 能 力 时 ,就 可 利用 
在 发 送 端 将 多 个 包 合 并 ,在 接收 端 将 其 分 离 的 方法 。 如 图 1. 11(b) 所 示 ,n 层 实体 将 几 个 n 
层 的 SDU 合并 在 一 起 ,作为 一 个 层 的 PDU 发 送出 去 ,在 接收 端的 nn 层 实体 将 收 到 的 n- 
PDU 分 离 为 各 自 的 x-SDU。 

多 路 复 用 传输 : 用 于 让 多 个 n 十 1 层 的 用 户 共 享 一 个 n 层 的 服务 。 如 图 1. 12 所 示 , 多 

。14. 


将 n 层 的 一 个 服务 数据 单元 拆 分 构 将 分 别 收 到 的 n 层 的 3 个 协议 数据 单 


成 " 层 的 3 个 协议 数据 单元 分 别传 输 元 重组 为 n 层 的 一 个 服务 数据 单元 
mSDU n-SDU 
n-PDU n-PDU n-PDU n-PDU n-PDU n-PDU 
(a) 数据 包 的 分 段 与 重组 
将 n 层 的 3 个 服务 数据 单元 合 为 n 层 将 收 到 的 n 层 的 一 个 协议 数据 单元 
的 一 个 协议 数据 单元 一 起 传输 PS 还 原 为 " 层 的 3 个 服务 数据 单元 
n-SDU n-SDU mSDU | ES n-SDU n-SDU 
n-PDU n-PDU 


(b) 数据 包 的 合并 与 分 离 
图 1.11 数据 包 的 相关 操作 图 


Ni 上 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 人 | ntl 
层 实体 | 二 -= 一- 层 实 人 
所 4 和 外 二 三 二 二 二 扣 三 三 -人 | ntl 
| | 层 实体 | 层 实体 | | 

nSAPH 了 nSABE 
| 
| n-SDU | 
LE 
n 层 实体 | | nn 层 实体 
H n-SDU 
n-PDU 


图 1.12 多 个 n 十 1 层 的 用 户 共享 一 个 层 实体 提供 的 传输 服务 


个 ?十 1 层 的 用 户 将 它们 的 SDU 分 别传 给 同一 个 nn 层 的 实体 ,构成 一 个 n-PDU 发 送出 去 。 
接收 端 收 到 此 n-PDU 后 进行 多 路 分 离 , 将 每 个 用 户 的 n-SDU 恢复 出 来 ,分 别 送 给 各 自 的 
?十 1 层 用 户 。 因 此 在 每 个 PDU 里 需要 有 一 个 多 路 复 用 的 标签 ,以 确定 各 个 SDU 分 别 属于 
哪个 用 户 。 一 个 例子 是 几 个 应 用 层 的 进程 共享 一 个 UDP 用 户 数据 报 提供 的 传输 服务 ,每 
个 应 用 层 的 进程 将 它 的 SDU 通过 它 的 套 接 端 口传 给 UDP 实体 ,UDP 产生 一 个 数据 报 , 其 
中 包含 源 端 口号 ,目的 端口 号 ,以 及 源 和 目的 主机 的 IP 地 址 。 服 务 器 的 端口 是 “公认 端口 
号 ”, 明 确 地 标识 在 服务 器 端 应 当 接 收 SDU 的 进程 。 客 户 机 的 端口 号 是 一 个 “临时 端口 号 ”， 
它 是 在 为 此 应 用 建立 套 接 端 口 时 选择 的 。 因 此 在 接收 端的 UDP 实体 中 就 可 以 根据 数据 报 
中 指示 的 端口 号 将 多 个 不 同 的 SDU 包 进 行 分 离 输出 。 

多 路 分 离 传输 : 指 的 是 利用 多 个 n 层 的 服务 来 支持 同一 个 nn 十 1 层 的 用 户 。 来 自 同 一 
个 ?十 1 层 用 户 的 SDU 包 被 分 段 送 给 多 个 不 同 的 层 实体 ,它们 又 分 别 将 这 些 SDU 分 段 传 
给 目的 端的 对 等 实体 。 目 的 端的 多 个 nn 层 实体 分 别 解 出 SDU 分 段 后 ,将 它们 合并 组 装 送 给 
接收 端的 xz 十 1 层 用 户 。 在 发 送 端 需要 给 每 个 SDU 分 段 指 定 “ 序 列 号 ”, 以 便 接 收 端 按 序列 
号 将 这 些 收 到 的 SDU 分 段 排序 重组 。 
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“多 路 复 用 一 个 信道 ”可 以 高 效率 地 利用 下 层 的 通信 服务 ,也 可 以 用 于 两 个 用 户 群 之 间 
只 有 一 条 连接 通道 的 情况 。 当 下 层 采用 的 传输 机 制 不 可 靠 时 ,“ 一 路 分 多 路 传输 ”可 以 用 来 
增加 可 靠 性 ,也 可 以 用 来 将 多 个 低速 率 的 下 层 传输 信道 组 合 ,向 上 层 用 户 提供 高 速率 的 传输 
服务 。 见 第 5 章 传 输 层 协 议 中 5.1.5 节 和 5. 4.1 节 的 应 用 。 


1.2 ” TCP/IP 网络 模型 与 协议 构架 


TCP/IP 网 络 模型 是 一 组 允许 各 种 异 构 网 络 进行 互联 通信 的 协议 。 它 最 初 的 研发 目的 
是 为 了 实现 在 ARPANET 包 交换 网 、 分 组 无 线 电网 络 和 卫星 分 组 通信 网 络 之 间 传 输 数据 
包 。 由 于 初期 的 研发 是 用 于 军事 目的 ,因此 研发 的 重点 放 在 了 网 络 对 付 故障 时 的 容错 能 力 
和 坚固 性 方面 ,以 及 实现 在 不 同 结构 的 网 络 之 间 的 互联 通信 。 因 此 研发 出 了 一 组 互联 网 协 
议 ,它们 能 够 高 效率 地 在 不 同类 型 的 计算 机 系统 和 网 络 间 通信 。 现 在 互联 网 已 经 成 为 全 世 
界 计算 机 互联 的 基本 设施 ,本 节 将 介绍 TCP/IP 网 络 模型 与 协议 构架 。 


1.2.1 TCP/IP 网 络 协议 的 结构 
图 1.13(a) 为 TCP/IP 网 络 协议 模型 ,由 四 层 构成 (有 时 可 分 为 五 层 )。TCP/IP 的 应 用 
三 二 一 层 组 合 了 OSI 参考 模型 中 上 面 三 层 的 功能 ( 即 应 用 层 , 表 
应 用 层 应 用 层 
传输 层 


厂 传 内 层 | 示 层 和 会 话 层 ) 。1. 1. 1 节 讨 论 的 HTTP 协议 实际 上 是 
互联 网 层 | 互联 网 层 | TCP/IP 的 一 个 应 用 层 协议 。HTTP 请 求 报 文中 包含 了 
网 络 接口 层 | 网 络 接口 层 格式 信息 ,同时 HTTP 协议 定义 了 客户 端 与 服务 器 之 间 

(a) (b) 的 对 话 规则 。 
图 1.13 TCP/IP 网 络 协 议 模型 TCP/IP 的 传输 层 可 以 直接 支持 应 用 层 的 运行 。 传 输 


层 提供 两 类 基本 服务 : 第 一 类 服务 由 “可 靠 的 面向 连接 的 
字 节 流传 输 协议 : 传输 控制 协议 TCP” 来 执行 。 第 二 类 服务 由 “尽力 而 为 的 面向 无 连接 的 单 
个 报 文 的 传输 协议 : 用 户 数 据 报 UDP 协议 ”执行 。UDP 不 提供 纠 错 恢复 或 流量 控制 机 制 ， 
UDP 用 于 那些 需要 快速 的 但 是 无 需 可 靠 性 的 信息 传输 ,如 音 视频 .DNS 等 。 

如 图 1.13(b) 所 示 ,TCP/IP 网 络 模型 不 对 网 络 通信 功能 进行 严格 地 分 层 。 换 言 之 ,在 
某 些 场合 ,应 用 层 可 以 选择 绕 过 中 间 层 ,直接 利用 网 络 接口 层 所 提供 的 服务 。 

如 图 1. 14 所 示 ,工作 于 互联 网 层 的 网 关 / 路 由 器 负责 在 多 个 网 段 之 间 转 移 传输 信息 。 
互联 网 层 相 当 于 OSI 参考 模型 中 的 网 络 层 。 它 为 连接 到 互联 网 上 的 每 台 主 机 指定 一 个 IP 
地 址 ,并 根据 数据 包 中 的 源 和 目的 IP 地 址 执行 路 由 转发 功能 。 互 联网 层 提 供 的 是 尽力 而 为 
的 无 连接 的 数据 包 的 传输 服务 。IP 包 在 路 由 器 之 间 进 行 转发 时 不 需要 先 建立 连接 ,每 个 IP 
包 独 立地 进行 路 由 选择 ,因此 它们 可 以 经 过 不 同 的 路 径 传输 。 因 此 ,IP 包 也 称 为 “数据 报 
(Cdatagram)”。 无 连接 的 传输 方案 使 得 系统 更 坚固 ,如 果 网 络 出 现 了 故障 ,数据 报 的 转发 路 
径 可 以 绕 过 网 络 的 故障 点 ,而 不 需要 重新 建立 连接 。 当 发 生 网 络 流量 拥塞 的 时 候 ,连接 在 网 
络 之 间 的 网 关 可 以 丢弃 数据 报 。 被 丢弃 的 数据 报 的 重 传 功能 交 给 上 层 的 传输 层 TCP 协议 
来 处 理 。 

网 络 接口 层 处 理 与 具体 通信 线路 相关 的 数据 帧 的 传输 。 因 此 ,必须 具有 OSI 模型 的 物 
理 层 和 数据 链 路 层 的 功能 。 将 计算 机 连接 到 具体 的 网 络 上 有 各 种 不 同 的 数据 接口 ,例如 : 
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主机 A 主机 B 


语 用 于 本 了 区 二 三 手下 下 一 | 应 用 层 
F 数 
人 一 | 伟 往 层 
互联 网 层 | -了 包 -| 互联 网 计 | - 卫 包 __ -| 互联 网 屋 
网 络 接口 层 | 。 数据 帧 。 [网络 接口 层 | 。 数据 帧 。 | 网 络 接口 层 


CE 


图 1.14 主机 A 和 主机 BB 利用 互联 网 通信 的 模型 


同步 数据 网 (SDH) 、 非 对 称 数 据 用 户 线路 (ADSL) 、 以 太 网 和 无 线 通 信和 网 等 。 

图 1.14 中 的 发 送 主机 A 的 网 络 接口 层 将 IP 包 封装 进入 底层 网 络 的 数据 帧 中 ,发 送 给 
网 关 , 网 关 将 数据 帧 中 的 IP 包 解 封 出 来 ,又 将 其 封装 到 下 一 个 网 段 所 需 的 数据 帧 格式 中 传 
给 主机 B 的 网 络 接 口 层 。 这 种 通信 方案 可 以 将 互联 网 层 与 具体 的 网 络 接口 层 清晰 地 隔离 
开 , 因 此 互联 网 层 在 传输 IP 包 的 时 候 不 需 考虑 具体 的 底层 网 络 属性 ,网 络 接口 层 对 于 上 层 
来 说 是 透明 的 。 下 面 是 一 个 详细 的 例子 ,说 明 IP 包 如 何在 底层 网 络 上 传输 。 

图 1.15 是 TCP/IP 协议 族 中 常用 协议 之 间 的 数据 封装 关系 图 。 在 发 送 端 ,上 层 协 议 数 
据 包 PDU 被 作为 载荷 依次 封装 到 下 层 协议 数据 单元 PDU 中 进行 传输 。 在 接收 端 ,从 收 到 
的 下 层 协议 数据 单元 中 依次 取出 载荷 中 的 数据 传 给 上 层 。 如 果 从 网 络 数据 监测 中 捕获 到 图 
中 未 画 出 的 某 种 协议 的 数据 包 , 那 么 就 可 以 根据 包 中 各 协议 数据 之 间 的 封装 关系 ,判断 出 该 
协议 在 此 图 中 的 位 置 。 建 议 读者 利用 第 7 章 介绍 的 实验 方法 ,从 以 太 网 的 捕获 数据 中 判断 
常用 的 DHCP 动态 主机 配置 协议 在 图 中 的 位 置 。 


超 文本 远 简单 邮件 简单 网络 “实时 传输 
传输 协议 过 程 可 录 文件 传输 传输 。 路 由 跟踪 域名 服务 管理 协议 协议 


HTTP | | Temet FTP SMTP | | Trace DNS | | SNMP RTP | 应 用 层 


连通 探测 png | | Ge 上 S 互联 网 组 网 层 
有 [Ping ICMP IP ~| IGMP 管理 协议 互联 网 层 


由 北向 地 过 
吉 守 久久 | ARP 上 | Poe - RARP | 说 内 二 让。 网络 接口 导 


媒体 1 | 媒体 2 媒体 3 


图 1.15 常用 的 TCP/IP 协议 族 的 数据 封装 关系 


在 基于 TCP/IP 协议 族 的 互联 网 中 ,将 应 用 层 的 协议 按 其 对 传输 性 能 的 要 求 进行 分 类 ， 
分 别 由 传输 层 的 TCP 协议 .UDP 协议 或 者 SCTP 协议 传输 。 分 类 方法 如 下 : 
互联 网 的 第 一 类 应 用 的 特点 是 : 不 允许 数据 传输 中 产生 任何 差错 ,要 求 传输 信道 有 流 
量 控制 和 乱 序 纠正 等 能 力 , 但 是 对 数据 传输 的 实时 性 不 作 严格 要 求 。 例 如 : 用 于 Web 网 页 
访问 的 HTTP 协议 ,传输 电子 邮件 的 SMTP 协议 ,文件 传输 协议 FTP 等 。 对 于 此 类 应 用 
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可 利用 传输 层 中 的 传输 控制 协议 (Transmission Control Protocol, TCP) 来 支持 。 

互联 网 的 第 二 类 应 用 的 特点 是 : 对 数据 传输 的 实时 性 要 求 较 高 ,不 允许 有 大 的 传输 延 
时 ,但 是 对 数据 传输 中 产生 的 差错 和 数据 包 丢 失 等 没有 严格 的 要 求 。 例 如 : 域名 查询 服务 
(DNS) ,网 络 视频 点 播 (Video On Demand,VOD),IP 电话 ,简单 网 络 管理 协议 (SNMP， 
RTP 协议 ) 等 。 对 于 此 类 应 用 可 利用 传输 层 中 的 用 户 数 据 报 协 议 (User Datagram 
Protocol,UDP) 来 支持 。 

互联 网 中 还 有 一 些 特殊 的 应 用 :例如 : 交互 式 的 网 络 视 频 会 议 、 交 互 式 网 络 教 学 等 。 此 
类 应 用 对 传输 信道 的 要 求 包 含 了 上 述 两 类 应 用 的 特点 ,会 议 通 信 各 方 之 间 要 实时 传输 双向 
的 视频 流 和 音频 流 ,以 及 文字 图 片 等 要 求 高 可 靠 性 的 多 种 不 同 进程 的 数据 。 这 些 数据 流 之 
间 还 要 有 时 间 同 步 的 要 求 。 于 是 在 传输 层 中 引入 了 第 3 个 协议 : 数据 流 控制 传输 协议 
(Stream Control Transmission Protocol,SCTP) ,在 图 1. 15 中 未 画 出 , 详 见 第 5 章 的 介绍 。 

在 发 送 端 ,传输 层 将 应 用 层 的 数据 封装 为 传输 层 数据 段 (segment) 后 , 交 给 互联 网 层 封 
装 为 统一 格式 的 IP 数据 包 (packet)。 而 各 种 不 同类 型 的 底层 网 络 再 将 IP 包 封 装 到 自己 格 
式 的 数据 帧 (frame) 中 传输 。 例 如 : 基于 双 绞 线 、 光 纤 无线电 信道 的 传输 网 络 的 数据 帧 格 
式 都 不 同 , 但 是 它们 都 设计 了 能 够 传输 统一 格式 的 IP 包 , 这 样 就 可 实现 不 同类 型 网 络 之 间 
的 基于 IP 协议 的 通信 。 在 接收 端的 数据 处 理 过 程 与 发 送 端 相反 。 

为 了 进行 互联 网 的 管理 和 控制 ,在 互联 网 层 除了 IP 协议 外 ,还 需要 一 些 辅助 协议 的 补 
充 和 完善 ,例如 : 网 间 控 制 报 文 协 议 (ICMP) 互联 网 组 管理 协议 (IGMP) 等 。 

由 于 数据 链 路 层 和 互联 网 层 的 寻 址 方式 不 同 。 例 如 ,以 太 网 内 传输 的 以 太 帧 寻 址 是 利 
用 帧 头 部 中 的 源 和 目的 主机 的 网 卡 物理 地 址 (Media Access Control,MAC) 。 而 互联 网 主 
机 的 IP 包 是 利用 其 头 部 中 的 IP 地 址 寻 址 。 为 了 让 IP 包 能 够 在 以 太 网 内 传输 ,就 需要 利用 
地 址 解析 协议 (Address Resolution Protocol, ARP) 在 以 太 网 的 每 台 计 算 机 内 自动 生成 一 个 
MAC 地 址 和 IP 地址 的 对 照 表 ,以 便 进行 MAC/IP 地 址 的 查询 和 对 照 。ARP 协议 的 用 途 
是 当 已 知 主机 的 IP 地 址 ,查询 该 主机 的 网 卡 MAC 地 址 。 而 反 向 地 址 解析 协议 (Reverse 
Address Resolution Protocol, RARP) 用 于 已 知 主机 的 MAC 地 址 ,查询 该 主机 的 IP 地 址 。 
RARP 协议 用 得 较 少 , 其 功能 已 被 动态 主机 配置 协议 DHCP 了 取代。 换言之, 网络 计算 机 内 
的 ARP 地 址 查询 对 照 表 是 在 以 太 网 上 支持 IP 包 互联 网 通信 的 必 备 条 件 。 

图 1.15 所 示 的 TCP/IP 协议 族 关系 图 的 形状 就 像 一 个 沙漏 计时 器 ,上 下 大 而 中 间 细 ， 
这 就 是 互联 网 为 何 具 有 强大 生命 力 的 原因 。 各 种 不 同类 型 的 底层 网 络 都 设计 了 能 够 传输 统 
一 格式 的 IP 协议 , 即 IP 包 的 传输 是 所 有 底层 网 络 都 支持 的 , 它 向 传输 层 的 TCP 和 UDP 的 
通信 服务 提供 了 一 个 与 底层 网 络 无 关 的 平台 ,在 传输 层 的 平台 上 还 可 以 开发 各 种 各 样 新 的 
应 用 。 由 于 互联 网 中 允许 各 种 不 同 的 底层 网 络 互 联通 信 , 也 允许 各 种 新 应 用 的 不 断 加 入 , 因 
此 它 就 可 以 提供 全 球 范围 的 各 种 通信 网 连接 。 

图 1.15 中 也 直观 地 表示 了 各 种 上 层 协议 数据 被 依次 封装 到 下 层 协议 数据 单元 PDU 中 
的 相互 关系 。 在 互联 网 中 会 不 断 出 现 一 些 新 的 应 用 ,很 多 企业 提供 的 网 络 服务 采用 了 自主 
开发 的 非 标 准 协 议 , 例 如 QQ 使 用 的 OICQ 协议 等 。 可 以 通过 捕获 和 解剖 真实 网 络 中 该 协 
议 数据 包 的 封装 结构 ,来 分 析 此 协议 所 在 层次 与 上 下 层 协 议 的 相互 关系 和 工作 原理 。 详 细 
见 第 7 章 的 介绍 。 

TCP/IP 网 络 协议 模型 的 优点 是 简单 明了 ,但 是 随 着 互联 网 的 很 多 新 应 用 和 新 协议 的 
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加 入 ,此 模型 就 显得 不 够 完善 了 。 例 如 ,在 互联 网 安全 应 用 中 新 增加 的 各 种 加 密 通 信 协 议和 
会 话 控制 协议 等 ,用 OSI 模型 来 分 析 较 完善 。 


1.2.2 TCP/IP 网 络 模型 与 OSI 模型 之 间 的 关系 
TCP/IP 互 连 联 模 型 是 在 国际 标准 化 组 织 ISO 的 开放 系统 互 连 OSI 参考 模型 之 前 开发 


出 来 的 ,因此 互联 网 模型 中 各 层 与 OSI 模型 的 各 层 并 不 完全 匹配 。 互 联网 模型 是 由 5 层 构 
成 的 ,而 OSI 模型 有 7 层 。OSI 模 型 中 的 最 上 面 的 会 话 层 、 表 示 层 和 应 用 层 这 3 层 的 功能 在 
互联 网 模型 中 由 一 个 称 为 应 用 层 的 单一 层 来 完成 ,如 图 1. 16 所 示 。 
应 用 层 各 种 应 用 | 
表示 层 | |sMTp|| FTp ||TELNET|| DNS ||sNMp|| NFS Real TFTP| | 
会 话 层 
传输 层 LTCP UDP SCTP 
网络 及 ICMP | [IGMP 
l 
全 由 底层 网 络 所 定义 的 协议 
物理 层 


图 1.16 TCP/IP 互 联网 模型 与 OSI 参考 模型 的 关系 


TCP/IP 网 络 模型 与 OSI 参考 模型 的 比较 : OSI 参考 模 型 是 最 严谨 和 完整 的 。 早 期 的 
互联 网 的 应 用 范围 十 分 简单 有 限 ,TCP/IP 的 5 层 结构 的 模型 基本 能 够 满足 使 用 要 求 。 但 
是 随 着 互联 网 应 用 领域 的 不 断 扩展 ,增加 了 很 多 新 的 应 用 领域 ,例如 : 网 络 信息 的 加 密 、 用 
户 身 份 认证 ,虚拟 专 网 VPN 的 应 用 、 电 子 商务 、 网 络 多 媒体 应 用 等 , 原 有 的 TCP/IP 协议 族 
已 不 能 满足 要 求 。 因 此 互联 网 至 今 仍然 在 不 断 地 增添 新 的 补充 协议 ,互联 网 的 5 层 协议 模 
型 也 在 不 断 地 扩充 新 的 内 容 , 这 些 新 加 入 的 协议 (例如 数据 加 密 等 ) 往 往 具有 类 似 OSI 中 的 
表示 层 和 会 话 层 等 的 功能 。 理 解 OSI 的 参考 模型 与 TCP/IP 的 模型 的 异同 关系 ,对 学 习 互 
联网 的 各 种 协议 之 间 的 关系 ,应 用 和 开发 网 络 安全 技术 是 很 重要 的 。 


1.2.3 异类 网 络 之 间 如 何 互 联通 信 


在 本 节 中 ,利用 实例 说 明 1. 2. 2 节 所 讨论 的 层 的 概念 ,如 何 用 于 一 个 典型 的 TCP/IP 互 
联网 环境 中 。 这 里 给 出 : 

(1) 网 络 模 型 中 每 一 层 的 例子 ,以 及 各 层 之 间 如 何 通 过 接口 相互 传递 信息 。 

(2) 每 层 的 协议 数据 单元 PDU 是 如 何 构 成 的 ,在 它 的 头 部 含有 什么 重要 信息 。 

(3) 网 络 主机 的 物理 地 址 与 IP 地 址 的 应 用 范围 不 同 , 以 及 它们 之 间 的 相互 关系 。 

(4) 同一 个 IP 包 怎样 在 两 个 不 同类 型 的 网 络 之 间 路 由 传输 。 

首先 分 析 一 个 简单 的 互联 网 络 , 然 后 展示 用 网 络 协议 数据 分 析 工 具 捕 获 的 各 种 协议 
数据 。 


例 1-4 互联 网 如 何 跨 网 段 传输 IP 数据 包 。 

图 1.17(a) 展示 了 一 个 传统 以 太 网 和 一 个 PPP(Point to Point Protocol) 拨 号 网 络 之 间 
通过 路 由 器 的 互联 通信 ,这 就 是 由 两 个 异类 网 络 构成 的 互联 网 。 以 太 网 中 包括 : 一 台 服 务 
器 (Server) 一 台 工 作 站 (Workstation) .一 个 路 由 器 (Router) 。PPP 网 络 由 一 台 PC 通过 电 
话 线 的 点 对 点 协议 PPP 远程 连接 到 路 由 器 上 (类 似 家 庭 计 算 机 通过 拨号 线路 接 人 电信 运营 
商 的 网 络 ) 。 以 太 网 和 PPP 网 络 是 数据 链 路 层 中 两 类 不 同 的 网 络 , 但 是 它们 都 能 封装 传输 
IP 数据 包 , 因 此 可 通过 路 由 器 互联 .应 用 数据 的 封装 处 理 过 程 如 图 1. 17(b) 所 示 。 


(a) 网 络 物理 配置 图 


服务 器 PC 
HTTP HTTP 
TCP 路 由 器 TCP 
IP IP IP 
Te 
(b) 网 络 协议 图 


图 1.17 由 一 个 以 太 网 和 一 个 PPP 网 络 连 接 构 成 的 互联 网 


1. IP 地 址 和 物理 地 址 的 作用 范围 

在 互联 网 上 传输 一 个 IP 包 (Packet 或 称 * 分 组 ”) 时 ,需要 用 以 太 网 中 工作 站 的 MAC 物 
理 地 址 以 及 互联 网 上 主机 的 IP 地 址 来 进行 寻 址 和 路 由 转发 。MAC 物理 地 址 即 是 工作 站 的 
网 卡 (Network Interface Card,NIC) 的 地 址 ,用 于 以 太 网 内 的 寻 址 , 即 MAC 地 址 只 能 用 在 
同一 个 网 段 内 。 每 个 网 卡 都 有 一 个 全 球 唯一 的 MAC 地 址 。 

互联 网 中 每 台 主 机 的 网 络 接口 由 一 个 全 球 唯一 的 IP 地 址 进行 标识 。IP 地 址 标识 的 是 
主机 的 网 络 接口 而 非 主机 本 身 , 若 一 台 主 机 连接 到 多 个 网 络 ,那么 每 个 接口 都 有 一 个 卫 地 
址 。IP 地 址 用 于 互联 网 上 跨 网 段 传输 的 数据 包 寻 址 。 连 接 两 个 或 更 多 物理 网 络 的 结 点 称 
为 路 由 器 。 在 本 例 中 ,路 由 器 连接 到 两 个 异 构 网 络 上 .每 个 网 络 接 口 分 给 一 个 唯一 的 IP 地 
址 。 一 个 IP 地 址 由 32 比特 构成 ,分 为 两 部 分 : 网 络 ID(identification) 和 主机 ID。 网 络 ID 
由 具备 IP 地 址 授予 权 的 机 构 分 配 授予 。 

在 本 例 的 IP 地 址 中 ,用 简化 的 网 络 ID 标识 符号 ,假如 以 太 网 的 网 络 ID 为 1,PPP 网 的 
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网 络 ID 为 2。 因此 在 此 图 的 以 太 网 中 ,假设 服务 器 的 IP 地 址 为 (1,1),MAC 地 址 为 ;工作 
站 的 IP 地 址 为 (1,2),MAC 地 址 为 ww; 路 由 器 的 左 侧 接 口 IP 地 址 为 (1,3),MAC 地 址 为 x。 
在 PPP 点 对 点 协议 网 络 中 ,计算 机 的 IP 地 址 为 (2,2) ,路 由 器 接口 的 卫 地 址 为 (2,1)。 路 
由 器 有 两 个 IP 地 址 分 别 对 应 两 个 网 络 的 接口 。 

以 太 网 中 每 个 网 络 接 口 的 MAC 地 址 长 度 为 48 比特 ,其 中 前 24 比特 是 生产 厂商 的 标 
识 , 后 24 比特 是 产品 序号 。 每 块 网 卡 都 被 赋予 一 个 全 球 唯一 的 介质 访问 控制 MAC 地 址 或 
称 为 物理 地 址 。 当 一 块 网 卡 被 用 来 将 一 台 计 算 机 连接 到 任何 以 太 局 域 网 时 ,网 络 中 的 所 有 
工作 站 都 自动 保证 其 接口 的 物理 地 址 是 唯一 的 。 为 了 方便 讨论 , 设 图 1.17 中 路 由 器 的 
MAC 地 址 为 ~, 服务 器 的 MAC 地 址 为 ,工作 站 的 MAC 地 址 为 ww。 
注意 区 别 : 在 以 太 网 中 的 每 台 计 算 机 称 为 工作 站 (Workstation) ,连接 到 互联 网 上 的 计 
算 机 称 为 主机 (Host) ,独立 使 用 的 计算 机 称 为 PC(Personal Computer)。 

2. IP 包 在 不 同 网 络 之 间 的 传输 

(1) IP 包 在 同一 以 太 网 内 的 寻 址 : 首先 ,分 析 工 作 站 要 向 服务 器 传送 一 个 IP 包 的 情 
况 。 在 IP 包 的 头 部 包含 了 源 ( 工 作 站 )IP 地 址 和 目的 (服务 器 )IP 地 址 。 假 设 服务 器 的 IP 
地 址 是 已 知 的。 工作 站 的 IP 实体 查看 自己 的 路 由 表 , 以 确定 表 中 是 否 存 在 含有 此 IP 地 址 
的 信息 。 如 果 发 现 服务 器 是 与 本 机 连接 到 同一 以 太 网 , 昌 ARP 表 中 服务 器 的 物理 地 址 是 
s,IP 数据 包 就 被 送 到 以 太 网 卡 驱动 器 ,从 而 产生 如 图 1. 18 所 示 的 以 太 网 帧 。 以 太 网 帧 的 
头 部 包含 了 源 端的 物理 地 址 w 和 目的 端的 物理 地 址 *。 头 部 还 包含 了 一 个 协议 类 型 字段 ， 
标明 内 部 封装 的 是 IP 包 。 此 类 型 字段 是 必需 的 ,因为 以 太 帧 中 也 可 以 封装 传输 其 他 非 IP 
协议 的 包 。 工 作 站 随后 将 此 以 太 网 帆 在 局 域 网 中 进行 广播 。 服 务 器 的 网 卡 检测 到 此 帧 的 目 
的 MAC 地 址 与 本 机 地 址 吻合 ,此 网 卡 就 捕获 此 帧 并 对 其 进行 处 理 , 它 发 现 帧 中 的 协议 类 型 
字段 是 IP 协议 的 标识 ,就 取出 其 中 的 IP 包 并 上 传 给 服务 器 内 的 IP 实体 。 


IP 头 部 包含 信 源 和 信 宿 的 | py 
JP 地 址 ，IP 头 部 检 错 码 等 | 类 部 


以 太 网 部 包 信 泊 
和 信 宿 的 物 A 
并 守 | 区 


图 1.18 发 送 端 将 IP 包 封装 在 一 个 以 太 网 帧 中 ,在 接收 端 进行 相反 的 处 理 


IP 头 部 帧 检 错 码 


(2) IP 包 在 不 同 网 络 间 的 寻 址 : 看 服务 器 如 何 将 一 个 IP 数据 包 传 给 通过 PPP 连接 的 
PC 的 情况 。 这 台 PC 通过 拨号 的 点 对 点 方式 连接 到 路 由 器 上 , 即 数据 链 路 层 使 用 的 是 点 对 
点 协议 PPP。 此 时 服务 器 已 知道 目标 的 PC 的 IP 地 址 。 服 务 器 中 的 IP 实体 查看 自己 的 路 
由 列表 ,看 是 否 含有 一 条 PC 的 IP 地 址 信息 , 它 没有 找到 (因为 PC 与 服务 器 不 在 同一 
局 域 网 内 ) 。 然 后 服务 器 的 了 P 实体 会 再 检查 是 否 有 一 条 路 由 表 项 与 PC 的 IP 地 址 中 的 网 
络 ID 部 分 相 匹 配 。 再 次 假设 没 找到 相应 的 表 项 。 当 发 送 端 ( 服 务 器 ) 在 自己 的 路 由 表 中 
没有 找到 任何 关于 目的 计算 机 PC 的 地 址 信息 ,IP 实 体 则 会 查看 是 否 有 一 个 表 项 指定 了 
一 个 默认 路 由 器 。 路 由 表 中 存在 这 一 个 表 项 ,指明 默认 路 由 器 的 地 址 为 (1,3), MAC 
地 址 是 7。 
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于 是 服务 器 就 将 此 IP 包 送 到 自己 的 以 太 网 驱动 器 ,构建 了 一 个 以 太 网 帧 。 帧 的 头 部 包 
含 源 端 的 MAC 物理 地 址 (服务 器 ) 和 目的 端的 MAC 物理 地 址 ~( 路 由 器 )。 注 意 , 此 帧 中 
的 了 了 包头 部 的 目的 地 址 是 PC 的 IP 地 址 (2,2) , 源 IP 地 址 是 服务 器 的 ,而 不 是 路 由 器 的 IP 
地 址 (1,3)。 此 以 太 帧 广播 到 局 域 网 中 。 路 由 器 的 网 卡 捕获 了 此 帧 ,并 对 其 进行 分 析 , 帧 头 
部 的 MAC 目的 地 址 与 自己 相同 ,于 是 收 下 。 网 卡 取出 其 中 的 IP 包 传 给 它 的 IP 实体 ,实体 
发 现 这 个 IP 包头 部 的 目的 IP 地 址 不 是 发 给 自己 的 ,依然 需要 继续 路 由 转发 。 此 IP 包 在 以 
太 网 中 传输 时 的 封装 关系 为 eth: ip。 

路 由 器 中 的 路 由 列表 说 明 地 址 为 (2,2) 的 PC 是 通过 PPP 协议 接连 到 自己 的 另 一 网 络 
接口 。 路 由 器 把 IP 数据 包 从 以 太 帧 中 取出 ,将 它 封装 到 一 个 PPP 帧 中 。 然 后 路 由 器 将 此 
PPP 帧 发 送 给 PC。PC 的 PPP 接收 器 收 到 帧 后 ,检测 其 中 的 协议 类 型 字段 为 IP, 就 将 IP 包 
取出 传 给 它 的 IP 实体 。 在 PPP 数据 帧 中 封装 了 卫 包 后 头 部 的 顺序 为 ppp: ip。 

3. 网 络 各 层 之 间 如 何 协同 工作 

上 面 的 讨论 说 明了 IP 包 如 何在 不 同 网 络 间 进 行 发 送 。 接 下 来 ,分 析 在 网 络 层 以 上 的 协 
议 是 如 何 工 作 的 。 以 PC 通过 浏览 器 访问 Web 服务 器 网 页 的 应 用 为 例 。 假 设 PC 和 服务 器 
之 间 已 经 建立 了 一 个 TCP 连接 ,PC 用 户 点 击 了 浏览 器 上 的 一 个 Web 网 页 的 URL 
(Uniform Resource Locator) 链 接 , 此 链接 指向 服务 器 中 的 一 个 Web 文件 。PC 应 用 层 的 
HTTP 客户 端 发 出 的 请 求 报 文 GET 被 传 到 TCP 层 ,将 此 报 文 封装 到 一 个 TCP 的 数据 段 
中 ,如 图 1. 19 所 示 。TCP 数据 段 头 部 中 包含 一 个 临时 端口 号 c 来 标识 客户 端的 本 次 进程 ， 
以 及 HTTP 服务 器 的 公认 端口 号 (Well Known Port Number)80 。 


HTTP 客 户 向 服务 器 发 送 的 请 。 | ,HTTP 
求 、 协 商 或 网 页 路 径 等 内 容 | 请 求 request 


TCP 头 部 包含 信 源 和 信 宿 端口 号 、 窗口 大 小 ~| TCP 
校 验 和 、 确 认 帧 号 、 序 列 号 等 信息 头 部 


IP 头 部 包含 信 源 和 信 宿 下 地 址 、 传 输 层 | IP 
协议 类 型 、 校 验 和 … 生存 期 TTL 等 信息 | 头 部 


| 


以 太 帧 头 部 包含 信 源 和 信 宿 物理 | 以 太 帧 | IP 1 TCP 1 HTTP 
地 址 ， 网 络 层 协议 类 型 等 信息 | 头 部 | 头 部 | 头 部 1 请 求 request 


帧 检 错 码 


图 1.19 在 发 送 端 从 上 向 下 依次 将 用 户 请 求 和 协议 数据 封装 到 各 层 的 PDU 中 


TCP 数据 段 被 传 到 IP 层 , 并 被 封装 在 IP 包 中 。IP 包头 部 包含 了 发 送 端的 IP 地 址 
(2,2) 和 接收 端 了 了 地 址 (1,1)。 了 P 包 的 头 部 还 包含 了 一 个 协议 字段 ,标明 此 包 内 部 封装 的 
是 TCP 协议 数据 段 。 然 后 ,此 IP 包 被 用 PPP 协议 封装 起 来 发 给 路 由 器 。 路 由 器 再 去 掉 
PPP 头 部 取出 IP 包 ,再 将 IP 包 封装 入 以太 帧 ,从 另 一 端的 以 太 网 发 给 服务 器 。 注 意 , 同 一 
个 IP 包 在 路 由 器 的 两 端 转发 时 , 先 从 PPP 帧 中 取出 来 ,再 封装 到 另 一 端的 以 太 帧 里 面 。 
图 1. 19 的 协议 数据 封装 关系 可 以 表示 为 eth:ip:tcp:http。 

最 后 ,服务 器 的 网 卡 捕获 该 以 太 帧 ,取出 其 中 的 IP 数据 报 并 将 其 传 给 服务 器 的 IP 实 
体 。IP 头 部 中 的 协议 字段 表明 其 中 封装 的 是 TCP 数据 段 , 它 就 被 取出 并 传 到 服务 器 的 

。22。 


TCP 层 。 然 后 ,TCP 层 利用 包 中 的 公认 端口 号 80 来 判断 出 包 中 的 应 用 层 信息 应 当 被 传 往 
HTTP 服务 器 的 进程 。 在 这 里 出 现 了 一 个 问题 : 一 台 服 务 器 可 能 要 同时 处 理 来 自 很 多 不 同 
Web 客户 机 的 很 多 不 同 连 接 。 所 有 这 些 连接 都 具有 相同 的 目的 全 地 址 、 相 同 的 目的 端 
口号 (80) 和 相同 的 协议 类 型 (TCP)。 服 务 器 如 何 确定 每 个 客户 请 求 应当 与 哪个 连接 相 
对 应 ? 答案 在 于 “终端 对 终端 (End to End)” 和 “进程 对 进程 (Process to Process)” 的 通信 
是 如 何 工作 的 。 

我 们 定义 : 源 端的 端口 号 、 源 端 IP 地 址 和 协议 类 型 构成 了 发 送 端的 套 接地 址 (Socket 
Address)。 同 样 , 目 的 端的 端口 号 .目的 端 IP 地 址 和 协议 类 型 也 构成 了 接收 端的 套 接地 址 。 
源 端 的 套 接地 址 和 目的 端的 套 接地 址 组 合 在 一 起 ,就 可 以 全 球 唯 一 地 确定 一 个 HTTP 客户 
端 与 HTTP 服务 器 进程 之 间 的 连接 。 

例如 : 在 本 例 的 Web 网 页 访问 例子 中 ,发 送 端的 套 接地 址 为 (TCP,(2,2),c), 目 的 端 
的 套 接地 址 为 (TCP,(1,1),80), 二 者 合 在 一 起 有 5 个 参数 (TCP,(2,2),c, (1,1),80), 这 
5 个 参数 的 组 合 称 为 套 接地 址 , 它 全 球 唯一 地 标识 了 本 次 进程 到 进程 的 连接 。 套 接地 址 保 
证 了 每 个 用 户 上 网 时 互联 网 信息 传输 服务 的 全 球 唯 一 性 ,是 准确 无 误 的 ,除非 受到 网 络 安全 
攻击 中 的 恶意 欺骗 。 在 后 面 的 章节 中 还 要 详细 进行 安全 方面 的 讨论 。 

图 1. 20 为 互联 网 各 层 的 功能 和 使 用 的 寻 址 方式 的 比较 。 数 据 链 路 层 的 职能 是 将 数据 
帧 在 同一 网 络 的 两 个 相 邻 节点 之 间 传 输 ,使 用 MAC 物理 地 址 进行 寻 址 。 网 络 层 的 职能 是 
在 源 主机 和 目的 主机 之 间 传 输 IP 包 , 中 间 可 能 要 经 过 各 种 不 同类 型 的 网 络 和 链 路 ,网 络 层 
使 用 IP 地 址 进行 主机 与 主机 之 间 的 寻 址 和 转发 。 传 输 层 负责 在 两 个 终端 主机 内 的 应 用 程 
序 ( 进 程 ) 之 间 传 输 应 用 数据 ,使 用 端口 号 进行 进程 到 进程 的 寻 址 。 本 书 将 对 各 层 的 工作 原 
理 和 安全 问题 进行 详细 的 介绍 和 讨论 。 

若干 不 同 进 程 若干 不 同 进程 
| 呈 | 数据 链 路 层 : de 传输 帧 、 使 用 MAC 地 址 本 本 
1 
1 
1 
1 
1 
1 
1 
1 
| 


| | 机 、 传 输 分 组 包 、 使 用 IP 地 址 
传输 层 : 进程 对 进程 、 传 办 数据 段 "使 用 端口 号 


1 

1 

| 节点 对 ”节点 对 ”1 节点 对 节点 ”| “节点 对 “| 节 

| 节点 1 节点 | 作答 有 Frame 节点 | 节点 
数据 链 路 层 “用 MAC 地 址 一 TE "| 
= 网 络 层 ， 主 机 对 主机 传输 分 组 包 Packet, 用 IP 地 址 | 


传输 层 ， 进 程 对 进程 传输 分 段 Segment 用 端口 号 


图 1.20 互联 网 中 各 层 的 功能 和 寻 址 方式 比较 


互联 网 中 信息 的 传输 需要 使 用 4 类 地 址 配合 进行 寻 址 ,在 TCP/IP 网 络 模型 中 从 下 到 


上 依次 为 : 
(1) 物理 地 址 : 数据 链 路 层 以 太 网 MAC 地 址 长 48 位 ,用 于 以 太 帧 在 局 域 网 内 对 工作 
站 的 寻 址 。 


(2) 逻辑 地 址 : 互联 网 层 IPv4 地 址 32 位 ,IPv6 地 址 128 位 ,用 于 IP 包 在 互联 网 上 主机 
的 寻 址 。 
人 


(3) 端口 地 址 : 传输 层 端口 号 长 16 位 ,用 于 数据 段 在 双方 主机 中 进程 对 进程 传输 的 端 
口 寻 址 。 

(4) 应 用 地 址 : Email 地 址 、 主 机 域名 地 址 、 网 页 文件 的 URL 等 。 便 于 人 们 记忆 。 

当 各 种 协议 数据 在 网 络 模型 的 上 下 层 间 传输 时 ,需要 对 不 同 层 使 用 的 不 同类 型 地 址 之 
间作 转换 查询 ,在 以 太 网 内 采用 ARP 地 址 解析 协议 自动 建立 本 网 内 的 IP 地 址 与 MAC 地 
址 映射 表 供 查询 ,在 互联 网 应 用 层 通过 DNS 域名 解析 协议 向 浏览 器 和 电子 邮件 系统 提供 域 
名 地 址 与 IP 地 址 之 间 的 转换 查询 。 而 套 接地 址 指 互联 网 主机 间 通 信使 用 的 IP 地 址 、 端 口 
地 址 与 传输 层 协议 类 型 代码 的 组 合 。 


1.3 利用 Wireshark 捕获 分 析 网 络 数据 及 其 安全 性 


网 络 协议 分 析 器 可 用 于 捕获 .显示 并 分 析 网 络 上 传输 的 各 种 协议 数据 。 它 对 于 分 析 诊 
断 网 络 故障 ,追踪 网 络 安全 罪犯 等 是 十 分 有 用 的 。 协 议 分 析 器 在 网 络 与 信息 安全 课程 的 理 
论 联系 实际 的 教学 中 极为 有 用 ,因为 它 可 实时 检测 和 分 析 网 络 数 据 流 中 的 丰富 内 容 。 

构成 协议 分 析 器 的 第 一 个 部 件 是 从 传输 物理 介质 中 捕获 数字 信息 的 硬件 。 捕 获 信息 的 
最 有 效 的 位 置 是 用 网 络 计算 机 的 网 卡 。 大 多 数 局 域 网 LAN 的 网 卡 支持 “混杂 模式 ”, 可 将 
所 有 LAN 上 的 帧 捕获 进行 分 析 检 测 。 注 意 , 对 于 大 多 数 LAN 协议 的 帧 可 以 被 连接 到 网 线 
上 的 设备 所 收 到 ,即使 这 些 帧 并 不 是 发 给 此 设备 的 。 因 为 大 多 数 计 算 机 都 连接 到 以 太 网 
LAN ,所 以 可 在 网 卡 上 安装 设备 驱动 软件 进行 方便 的 包 捕获 分 析 。 

随 着 网 络 操作 速度 的 日 益 提 高 ,可 捕获 到 的 信息 量 也 迅速 增加 。 因 此 构成 协议 分 
析 器 的 第 二 个 要 素 是 过 滤 软 件 , 可 用 来 筛选 含有 所 需 信 息 的 帧 。 可 根据 帧 的 物理 地 
址 、IP 地 址 .协议 或 者 其 他 条 件 的 组 合 来 过 滤 数 据 。 协 议 分 析 器 的 最 后 一 个 部 件 是 由 
显示 和 译 读 协议 数据 的 工具 构成 。 现 在 有 很 多 商用 的 和 开源 代码 的 网 络 协议 分 析 器 
可 供 使 用 。 

本 书 中 将 运用 Wireshark 网 络 协议 分 析 软 件 进行 网 络 协议 和 网 络 安全 的 案例 分 析 。 它 
是 一 个 开发 得 非常 成 功 的 免费 开源 软件 ,全 世界 数 百 名 开发 人 员 致力 于 Wireshark 的 研发 ， 
可 支持 大 量 协议 的 分 析 ,而且 发 展 速度 较 快 ,每 隔 几 个 月 就 有 新 版 本 的 Wireshark 软件 问 
世 。 最 新 版 本 的 下 载 网 址 是 http://www. wireshark. org/download. html, 美 国 的 一 些 著 名 
大 学 网 站 还 提供 了 利用 Wireshark 学 习 和 研究 计算 机 网 络 及 其 安全 知识 的 教学 资料 。 该 软 
件 的 详细 使 用 方法 参见 第 7 章 的 介绍 。 

因为 网 络 协议 分 析 器 可 以 捕获 局 域 网 上 的 所 有 数据 包 , 因 此 也 可 能 被 非法 地 用 来 获取 
网 络 上 的 敏感 信息 ,例如 : 用 户 名 和 口令 等 ,因此 应 当 合法 地 和 负责 任 地 使 用 这 些 网 络 数据 
分 析 工 具 。 

在 下 面 的 例子 中 ,将 使 用 网 络 协 议 分 析 软 件 Wireshark 捕获 与 解剖 分 析 网 络 上 通信 各 
方 的 数据 包 。 利 用 从 网 络 捕获 的 真实 数据 来 说 明 在 Web 网 页 浏览 的 应 用 中 各 层 之 间 是 如 
何 协调 工作 的 。 

例 1-5 客户 机 浏览 器 访问 Web 网 站 的 网 络 数据 。 

图 1.21 是 Wireshark 显示 的 从 网 络 上 捕获 数据 的 屏幕 截图 ,这 是 一 台 网 络 计算 机 使 用 
IE 浏览 器 访问 百度 网 站 时 的 数据 包 序列 。 图 中 左边 第 一 列 是 数据 包 的 序号 (No. 17 一 27)， 
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第 二 列 是 捕获 时 间 (Time) ,第 三 列 是 源 主机 IP 地 址 (Source) ,第 四 列 是 目的 主机 IP 地 址 
(Destination) ,第 五 列 是 包 中 封装 的 上 层 协议 类 型 (Protocol) ,第 六 列 是 包 中 数据 的 内 容 概 
要 (Info. ) 。 


202.203. 308.33 ONS standard query A www.baidu.com.cn 
10.0.26 Standard query response CNAME www.a.shifen.com A 119.75.213. 51| 
119.75. 3 51 esimport > http [SYN] Seq=0 win=65535 Len=0 MSS=1460 WS=2 


10.0.2 TCP hrtp > ers [SYN, ACK] Seq=0 Ack=1 win=8192 Len=0 MSS=1460| 


395735313. 51 ssimport > 
: 119.75.213.51 HTTP GET / HTTI 
119.75.213.51 10.0.26.7 Tep http > Ts [ACK] Seq=1 Ack=394 Win=2527 Len=0 
.119.75.213.51 10.0.26.7 HTTP HTTP/1.1 302 Found (text/htm]) 


Ap [AcK] seq=1 Ack=1 Win=65535 Len=0 


图 1.21 客户 机 正 浏 览 器 访问 百度 首页 的 数据 交换 过 程 


图 1. 22 是 此 例 中 DNS 服务 器 、 客 户 端 和 Web 服务 器 之 间 的 数据 交换 过 程 示意 图 。 由 
于 网 络 层 以 上 的 协议 数据 是 在 各 主机 的 对 应 层 之 间 透 明 地 传输 ,因此 图 中 略 去 了 工作 于 互 
联网 层 以 下 的 路 由 器 和 交换 机 等 网 络 互联 设备 。 


DNS 服务 器 客户 机 百度 代理 服务 器 
202.203.208.33 10.0.26.7 119.75.213.51 


17# 查询 IP 地 址 www.baidu.com 
18# IP 地 址 之 一 是 119.75.213.51 __| “19# 请 求 建立 TCP 连 接 SYN 


DNS 域 名 查询 使 用 UDP 协 议 | 20# 同 意 建 TCP 连 接 SYN+ACK 


网 页 文件 传输 使 用 TCP 协 议 21# 确 认 已 建立 TCP 连 接 ACK 

三 次 握手 建立 TCP 连 接 一 

HTTP 客 户 使 用 GET 获 取 网 页 文件 | _22# 请 求 获取 百度 首页 GET 
| 23# 百度 首页 文件 


1 1 
图 1.22 客户 机 IE 浏览 器 与 DNS 和 Web 服务 器 之 间 的 信息 交换 示意 图 


在 访问 一 个 Web 网 站 时 涉及 客户 机 .DNS 服务 器 和 Web 服务 器 三 方 的 信息 交互 。 首 
先 客户 机 在 IE 浏览 器 的 URL 窗口 输入 目标 地 址 http://www. baidu. com, 就 启动 了 如 下 
过 程 ， 

第 17 号 包 : 客户 机 ( 源 IP 地 址 为 10. 0. 26. 7) 向 域名 服务 器 DNS( 目 的 IP 地 址 
202. 203. 208. 33) 发 送 一 个 域名 查询 请 求 ,请 求 获取 域名 www. baidu. com 对 应 的 IP 地 址 。 
该 请 求 封装 在 传输 层 的 DUP 协议 包 中 ,这 是 一 个 标准 的 域名 查询 包 。 

第 18 号 包 : 域名 服务 器 返回 给 客户 机 的 DNS 响应 包 , 告 知 此 百度 域名 所 对 应 的 代理 
服务 器 www. a. shifen. com 有 若干 个 IP 地 址 ,可 供 客户 选择 登录 , 首 个 IP 地 址 是 
119.75.213.51。 这 是 一 个 标准 的 查询 响应 包 。 

第 19、20、21 号 包 : 客户 机 采用 一 个 临时 端口 (端口 名 为 esimport) 向 IP 地 址 为 
119.75.213. 51 的 百度 服务 器 的 公认 端口 (端口 名 为 http) 通 过 三 次 握手 建立 TCP 连接 。 
在 第 19 号 包 中 ,客户 机 向 服务 器 发 送 SYN 请 求 建 立 连接 ,第 20 号 包 是 服务 器 向 客户 机 返 
回 SYN 十 ACK 表示 同意 其 请 求 , 第 21 号 包 是 客户 机 向 服务 器 返回 ACK 表示 确认 建立 了 
TCP 连接 。 下 一 步 的 应 用 层 数据 就 可 通过 此 客户 机 端口 和 服务 器 端口 之 间 已 经 建立 的 
TCP 连接 通道 上 传输 。 
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第 22 号 包 : 客户 机 浏览 器 启用 应 用 层 的 HTTP 协议 ,向 服务 器 发 送 GET 请 求 获取 
URL 指定 的 网 页 文件 。 

第 26 和 27 号 包 : 服务 器 在 内 存 中 找到 了 URL 指定 的 网 页 文件 ,并 将 其 通过 端口 http 
发 送 给 客户 机 的 端口 esimport。 客 户 机 收 到 后 ,IE 浏览 器 将 HTML 格式 的 网 页 文件 翻译 
为 图 形 化 的 易 读 界面 显示 出 来 。 服 务 器 等 待 一 段 时 间 , 若 没 有 收 到 客户 机 的 下 一 步 请 求 , 服 
务 器 就 断 开 此 TCP 的 连接 。 

图 1.21 显示 的 内 容 仅 是 从 网 络 中 捕获 数据 的 一 个 概况 。 实 际 上 在 这 些 网 络 数据 包 中 
还 含有 十 分 丰富 的 大 量 信息 ,从 中 可 以 了 解 到 参与 网 络 通信 的 每 台 设 备 的 情况 以 及 它们 之 
间 传 输 的 内 容 , 从 而 可 实现 对 网 络 用 户 的 行为 监管 网络 性 能 测试 、 网 络 协议 的 研究 ,以 及 网 
络 安 全 的 攻防 对 抗 等 。 

上 面 描述 的 仅 是 客户 机 浏览 器 访问 Web 网 站 的 正常 过 程 ,但 是 在 互联 网 信息 安全 威胁 
日 益 严重 的 当今 , Web 应 用 中 经 常 发 生 以 下 不 同类 型 的 安全 事件 。 

(1) DNS 域名 服务 器 的 安全 问题 。DNS 系统 是 互联 网 的 一 个 十 分 重要 的 基础 设施 , 负 
责 将 人 们 易 懂 的 域名 查询 转换 为 IP 地 址 ,因此 它 经 常 成 为 黑客 的 攻击 对 象 。 恶 意 行为 之 一 
是 算 改 DNS 服务 器 内 的 缓存 内 容 , 更 换 某 些 域名 对 应 的 IP 地 址 ,这 样 就 可 误导 客户 机 去 访 
问 错误 的 网 站 。 例 如 : 客户 机 通过 DNS 查询 得 到 了 一 个 错误 的 IP 地 址 后 ,就 被 诱骗 去 访 
问 一 个 假冒 的 某 银行 网 站 ,就 可 能 被 黑客 套 取 客 户 的 账号 和 和 密码。 恶意 行为 之 二 是 将 一 些 
商品 广告 服务 器 的 IP 地 址 捆绑 到 点 击 率 较 高 的 Web 服务 器 的 域名 地 址 解析 中 提供 给 客 
户 。 恶 意 行 为 之 三 是 攻击 DNS 服务 器 系统 ,将 DNS 系统 瘫痪 可 导致 大 范围 的 互联 网 不 能 
正常 通信 。 

(2) Web 服务 器 的 安全 问题 。 黑 客 可 以 通过 各 种 渠道 进入 到 Web 服务 器 中 , 算 改 网 页 
内 容 或 将 病毒 和 木马 植 和 人 网 页 文件 中 ,去 感染 访问 该 网 页 的 客户 机 ,或 者 采用 拒绝 服务 攻击 
DOS 瘫痪 Web 服务 器 ,等 等 。 

(3) 客户 端的 安全 问题 。 浏 览 器 是 Web 访问 的 一 种 客户 端 软件 ,来 自 互 联网 的 攻击 首 
先进 入 到 浏览 器 中 ,黑客 可 算 改 浏览 器 的 默认 首页 ,可 截获 通过 浏览 器 发 送 的 用 户 名 和 密 
码 , 可 操控 浏览 器 去 攻击 目标 服务 器 ,等 等 。 

要 研究 和 解决 这 些 层出不穷 的 网 络 安全 问题 ,重要 的 基础 是 应 当 了 解 网 络 是 如 何 工作 
的 ,也 就 是 要 了 解 各 种 网 络 协 议 的 工作 原理 。 要 从 网 络 数 据 的 捕获 与 分 析 中 去 学 习 网 络 原 
理 , 去 发 现 安全 问题 产生 的 原因 ,以 及 如 何 综合 使 用 各 种 网 络 安全 管理 的 手段 进行 管理 与 
控制 。 

很 多 网 络 攻击 行为 都 是 利用 了 网 络 协议 的 漏洞 来 实施 的 ,因此 对 那些 看 似 错综复杂 的 
网 络 安全 问题 也 可 按照 其 依托 的 网 络 协议 的 层次 来 分 类 。 本 书 中 ,在 介绍 了 各 种 网 络 协议 
的 工作 原理 的 基础 上 ,还 要 讨论 该 协议 存在 的 安全 问题 ,由 此 探索 各 种 解决 问题 的 方法 和 

建议 首先 学 习 和 掌握 第 7 章 所 介绍 的 Windows 命令 提示 符 下 的 各 种 DOS 操作 命令 ， 
以 及 学 会 Wireshark 的 使 用 方法 。 利 用 这 些 实验 工具 来 理论 联系 实际 地 学 习 本 书 中 各 章 介 
绍 的 网 络 协 议和 安全 问题 ,提高 自己 分 析 和 解决 实际 问题 的 能 力 。 
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1.4 计算 机 网 络 知识 中 的 若干 基本 概念 


1. 关于 计算 机 的 各 种 不 同 称谓 

(1) 终端 机 (Terminal) : 具有 自己 的 数据 输入 设备 (键盘 、 鼠 标 ), 具 有 自己 的 数据 显示 
设备 (显示 器 ) ,但 是 没有 数据 处 理 能 力 和 存储 能 力 , 即 没有 自己 的 CPU 和 存储 器 等 。 终 端 
机 不 具备 独立 工作 的 能 力 。 通 常 将 很 多 终端 机 通过 网 线 连接 到 一 个 共同 的 小 型 计算 机 上 ， 
共享 小 型 机 的 CPU 和 存储 器 。 用 户 在 终端 机 上 输入 数据 , 传 给 小 型 机 处 理 , 小 型 机 再 将 数 
据 处 理 结果 返回 到 终端 机 的 显示 器 。 

(2) PC, 即 个 人 计算 机 (Personal Computer) ,具有 独立 的 CPU ,存储 器 .输入 设备 (键盘 
和 鼠标 等 ) ,输出 设备 (显示 器 等 )。PC 指 不 需要 接 入 局 域 网 而 可 独立 工作 的 计算 机 , 它 对 
外 部 的 通信 是 依靠 PPP 或 Modem 拨号 网 络 .ADSL、3G 移动 通信 等 实施 的 。 

(3) 工作 站 CWork Station) ,一 般 指 以 太 网 中 的 计算 机 , 它 的 主要 职能 是 作为 一 个 工作 
组 或 工程 项 目 组 的 群体 中 需要 协同 工作 的 一 个 成 员 ,工作 站 的 很 多 功能 如 果 脱 离 以 太 网 就 
不 能 实施 。 以 太 网 工作 站 的 网 络 接口 标识 是 全 球 唯一 的 MAC 地 址 ,一 台 工 作 站 可 能 有 多 
个 网 络 接口 ,每 个 网 络 接口 的 MAC 地 址 不 同 。 右 击 * 我 的 电脑 ”一 "系统 属性 ”计算 机 
名 ?可 看 到 : 工作 站 在 “Microsoft 网 络 ” 中 用 “计算 机 名 ”和 所 属 的 “工作 组 ”(Work Group) 
标识 。 

(4) 主机 (Host) , 指 连接 在 互联 网 上 的 计算 机 ,具有 PC 的 独立 工作 能 力 , 又 能 够 运行 
TCP/IP 协议 对 互联 网 资源 进行 访问 和 交互 。 互 联网 主机 的 网 络 接口 用 IP 地 址 标识 ,一 台 
主机 可 能 有 多 个 互联 网 接口 ,每 个 接口 的 IP 地 址 不 同 。 为 了 便于 人 们 记忆 ,互联 网 主机 可 
用 域名 标识 ,每 个 域名 可 对 应 多 个 IP 地 址 。 

在 实际 网 络 中 的 同一 台 计 算 机 可 能 同时 扮演 着 不 同 的 角色 。 例 如 ,以 太 网 中 有 一 台 计 
算 机 通过 路 由 器 访问 互联 网 上 的 资源 , 当 讨 论 该 计算 机 中 运行 的 以 太 网 协议 时 称 它 为 工作 
站 , 当 讨论 该 计算 机 作为 互联 网 的 一 个 客户 端 或 服务 器 时 称 它 为 主机 。 虽 然 通 常 不 严格 区 
分 这 两 种 称谓 ,但 它们 的 基本 概念 是 不 同 的 。 

2. 局 域 网 ,私有 网 络 和 虚拟 私有 网 络 

(1) 局 域 网 (Local Area Network,LAN)。 有 多 种 不 同 的 技术 可 以 构建 局 域 网 ,在 本 书 
中 的 局 域 网 指 的 是 采用 以 太 网 技术 ,而 且 计算 机 设备 之 间 用 长 度 不 超过 100 米 的 双 绞 线 作 
为 传输 媒介 的 本 地 私有 网 络 。 无 线 局 域 网 指 的 是 采用 IEEE 802. 11 协议 的 本 地 无 线 网 络 ， 
传输 距离 不 超过 100m。 

(2) 私有 网 络 (Private Network) , 指 的 是 组 织 机 构 、 学 校 等 内 部 的 专用 网 络 ,100 米 以 
内 用 双 绞 线 传输 , 远 距离 的 大 楼 之 间 用 光纤 作为 传输 媒介 ,网 络 覆 盖 距 离 可 达 10km 以 内 ， 
采用 以 太 网 协议 和 互联 网 协议 ,网 内 主机 一 般 采 用 私有 网 络 IP 地 址 。 

(3) 虚拟 私有 网 络 (Virtual Private Network, VPN), 当 同属 于 一 个 组 织 机 构 的 多 个 私 
有 网 络 之 间 的 距离 很 远 时 ,租用 公 网 的 数据 通信 加 密 信道 或 专用 信道 ,将 各 私有 网 络 之 间 的 
内 部 通信 远 距离 互联 传输 所 构成 的 私有 网 络 。 例 如 : 一 个 省 级 税务 局 的 私有 网 络 ,通过 租 
用 公 网 的 专用 数据 通信 信道 将 各 市 县 税务 分 局 的 私有 网 络 互联 ,构成 一 个 自 有 的 覆盖 范围 
很 广 的 VPN。 
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3. 局 域 网 与 互联 网 操作 系统 

从 计算 机 网 络 诞生 至 今 曾经 出 现 过 数 十 种 不 同 的 网 络 技术 ,经 过 长 期 实践 中 的 发 展 , 优 
胜 劣 汰 ,当前 主流 的 网 络 技术 是 以 太 网 、 互 联网 .SDH 数据 通信 网 等 为 数 不 多 的 几 种 。 但 是 
仍 有 一 些 已 经 被 淘汰 了 的 网 络 操作 系统 和 组 件 可 能 还 留存 在 我 们 的 计算 机 中 ,为 了 网 络 的 
安全 稳定 运行 以 及 净化 网 络 传输 的 数据 环境 ,应 当 外 载 那些 多 余 的 不 用 的 系统 和 组 件 。 

(1) 早期 局 域 网 操作 系统 的 追求 目标 是 : 在 办 公 室 网 络 内 实现 文件 .目录 ,打印 机 等 各 
种 网 络 资源 的 共享 ,以 提高 企业 部 门 的 工作 效率 。 但 是 这 样 的 信息 共享 功能 导致 了 局 域 网 
内 计算 机 之 间 的 安全 防范 能 力 较 差 ,容易 产生 病毒 .蠕虫 等 恶意 软件 在 局 域 网 内 的 扩散 。 例 
如 : Microsoft 网 络 IJPX/SPX/Net BIOS 网 络 操作 协议 等 。 

(2) 互联 网 的 追求 目标 是 : 将 各 种 不 同类 型 的 底层 网 络 传输 的 上 层 载荷 数据 规范 ,都 
统一 到 TCP/IP 协议 族 的 标准 上 ,实现 各 种 异 构 网 络 的 互联 通信 。 互 联网 采用 的 工作 模式 
种 类 有 : Web 应 用 构架 ,客户 /服务 器 模式 ,浏览 器 /服务 器 模式 ,以 及 Peer to Peer 对 等 模 
式 (P2P) 等 。 以 太 网 通过 ARP 协议 ,将 互联 网 的 IP 地 址 与 以 太 网 的 MAC 地 址 进行 映射 对 
照 ,成功 地 支持 了 各 种 互联 网 技术 在 以 太 网 中 的 应 用 。 

(3) 在 Windows 操作 系统 的 “本 地 连接 属性 "中 可 看 到 “选择 网 络 组 件 类 型 "“Net 
ware 客户 端 服务 "和 “Microsoft 网 络 客户 端 ”它们 因 存 在 安全 隐患 ,目前 已 基本 不 用 ,应 当 
将 其 外 载 。 后 者 属于 微软 公司 开发 的 Microsoft 网 络 ,是 企业 自主 知识 产权 的 局 域 网 技术 ， 
它 在 IBM 开发 的 NetBIOS 及 其 上 层 协议 的 基础 上 进行 了 改进 ,实现 了 局 域 网 内 的 “文件 与 
打印 机 共享 "和 “主机 管理 "等 。 该 网 络 协议 存在 很 多 安全 问题 ,虽然 目前 已 不 用 了 ,但 仍然 
捆绑 安装 在 很 多 网 络 计算 机 中 。 

注意 区 分 : 以 太 网 .互联 网 .Microsoft 网 络 , 是 3 种 完全 不 同 的 网 络 。 

4. 互联 网 不 同 协议 层 数 据 单元 的 称谓 和 性 质 不 同 

(1) 在 数据 链 路 层 传输 的 数据 单元 称 为 “ 帧 "Frame)。 例 如 ,以 太 网 传输 的 协议 数据 单 
元 称 为 以 太 网 帧 , 见 第 3 章 的 介绍 。 在 点 对 点 协议 (PPP) 中 传输 的 数据 单元 称 为 PPP 帧 ， 
见 第 2 章 的 介绍 。 以 太 帧 的 特点 是 : 可 变 长 度 , 头 部 包含 源 与 目的 MAC 地 址 ,可 作为 传输 
各 种 上 层 协议 数据 的 载体 。 

(2) 在 互联 网 层 传输 的 数据 单元 称 为 "IP 包 ”, 在 通信 和 领域 称 为 “数据 分 组 ”, 或 “分 组 ”。 
其 特点 是 : 头 部 含 源 与 目的 IP 地 址 ,每 个 IP 包 独 立地 在 互联 网 上 路 由 传输 ,不 考虑 各 包 之 
间 的 相互 关系 和 顺序 ,传输 中 如 果 被 丢失 , 则 可 通知 重 传 或 不 予 理 会 。 

(3) 在 传输 层 TCP 协议 传输 的 数据 单元 称 为 "数据 段 *>'Segment) , 它 可 能 只 是 报 文中 
的 一 个 分 段 ,不 是 一 个 完整 的 信息 。 例 如 : 一 个 完整 的 网 页 传输 前 可 分 为 若干 数据 段 ,给 每 
个 段 一 个 编号 ,接收 方 收 到 各 数据 段 后 ,按照 其 编号 组 装 还 原 为 一 个 完整 的 网 页 文件 。 如 果 
途中 数据 段 丢 失 则 必须 重 传 。 

(4) 在 传输 层 UDP 协议 传输 的 数据 单元 称 为 “用 户 数据 报 ”(User Datagram), 它 可 传 
输 完整 的 短信 息 , 如 DNS 查询 等 。 也 可 传输 音 视频 数据 流 中 的 一 个 片段 ,传输 中 若 丢 失 则 
不 予 理会 。 

5. 各 种 不 同 进 制 数 的 表示 与 相互 换算 

在 网 络 通信 中 传输 的 信息 用 二 进 制 数 表示 .为 了 便于 阅读 和 分 析 , 常 将 二 进 制 数 转换 为 
十 进 制 数 .十 六 进 制 数 或 256 进 制 数 等 。 在 本 书 附录 C 中 给 出 了 二 进 制 数 . 十进制 数 .十 六 
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进 制 数 .256 进 制 数 之 间 的 转换 算法 。 

(1) 二 进 制 数 需要 使 用 2 个 符号 (0,1) 。 

(2) 十 进 制 数 需要 使 用 10 个 符号 (0,1,2,3,4,5,6,7,8,9) 。 

(3) 十 六 进 制 数 需 要 使 用 16 个 符号 (0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F)。 在 十 六 
进 制 数 前 面 要 加 "0x”, 每 一 个 十 六 进 制 数 转换 为 二 进 制 数 为 4 比特 ,如 : 0x2 一 (0010)，, 每 
一 个 字 节 的 数据 用 2 个 十 六 进 制 数 表示 。 以 太 网 卡 的 MAC 物理 地 址 用 二 进 制 数 表示 为 
48 比特 ,用 12 个 十 六 进 制 数 表 示 。 例 如 : 00-24-12-00-33-39。 

(4) 256 进 制 数 需要 使 用 256 个 符号 (0,1,2,…,254,255)。 一 个 256 进 制 数 表示 为 二 
进 制 数 为 8 比特 。IPv4 地 址 用 二 进 制 数 表示 为 32 比特 ,常用 “4 分 段 的 十 进 制 数 ”(doted 
decimal) 来 表示 ,但 本 质 上 它 是 4 个 256 进 制 数 。 进 行 网 络 规划 与 设计 时 , 常 需要 将 4 个 
256 进 制 数 表达 的 IPv4 地 址 转换 为 十 进 制 数 .十 六 进 制 数 或 二 进 制 数 等 表示 。 

例如 : IP 地 址 202. 203. 208. 112 是 用 4 个 256 进 制 数 表示 的 地 址 ,将 它 换算 为 十 进 制 
数 为 ， 


202. 203. 208. 112-> 202 X 2563 十 203 X 256? 十 208 X 2561 十 112 X 256" 
一 3402354 800 

请 按照 附录 C 的 例子 进行 各 种 不 同 进 制 数 之 间 的 换算 练习 ,以 便 准 确 理解 网 络 基础 

6. 概念 容易 混淆 的 表示 方式 

(1) 英文 小 写字 母 b 表示 比特 ,是 信息 度量 的 基本 单位 ,也 称 为 二 进 制 数 的 “位 ”。 

(2) 英文 大 写字 母 B 表示 字 节 ,1B= 二 2:b==8b, 是 ASCII 编码 的 一 个 基本 单位 。 例 如 : 
硬盘 .光盘 等 存储 媒体 ,一般 存储 的 是 ASCII 编码 的 文本 信息 ,其 数据 量 的 基本 单位 为 字 
节 ,1MB 的 磁盘 的 存储 量 为 10242 X 8b。 因 此 当 讨论 一 个 电子 文件 的 数据 量 时 ,每 个 字符 
为 1 字 节 ,应 当 使 用 基本 单位 * 字 节 ”, 而 不 使 用 "比特 ”。 

(3) 英文 小 写字 母 k 表示 数量 单位 1000, 例 如 : 在 以 比特 作为 基本 单位 的 数据 通信 和 领 
域 ,1kbps 表示 通信 速率 为 每 秒 钟 传输 1000 比特 的 二 进 制 数据 。 常 用 于 物理 层 的 通信 速率 
度量 。 

(4) 英文 大 写字 母 K 表示 数量 单位 1024, 即 22 ,或 128X8。 例 如 : 在 以 字 节 作为 信息 
基本 单位 的 互联 网 通信 中 ,1KBps 表示 每 秒 钟 传输 1024 个 字 节 的 数据 (1KBps 二 1024X 
8bps)。 电 子 邮件 和 Web 浏览 传输 的 都 是 ASCII 编码 的 文本 (参看 附录 F) ,如 果 要 传输 图 
片 等 非 ASCII 编码 的 数据 文件 ,必须 要 转换 为 以 字 节 为 基本 单位 的 文本 文件 。 见 第 6 章 介 
绍 的 多 功能 互联 网 电子 邮件 扩展 MIME、Base-64 等 内 容 。 

(5) 英文 小 写字 母 s 表示 时 间 “ 秒 ”(second) ,例如 ,快速 以 太 网 的 帧 速率 为 100Mbps， 
或 表示 为 100Mb per second, 或 100Mb/s。 

(6) 英文 大 写字 母 S 表示 “取样 "(Sample), 例 如 ,对 PCM 话音 的 取样 率 为 8000Sps, 或 
表示 为 8000 Sample per second, 或 8kS/s。 如 果 用 8 比特 的 二 进 制 数 来 表示 对 模拟 信号 的 
每 个 取样 Sample 的 幅度 量化 后 的 幅 值 ,可 写 为 8b/S。 

(7) 以 太 网 的 信道 容量 与 以 太 帧 的 速率 是 两 个 不 同 的 概念 。 当 前 常用 的 以 太 网 类 型 
有 : 10Mbps 标准 以 太 网 .100Mbps 快速 以 太 网 .1Gbps 千 兆 以 太 网 和 10Gbps 以 太 网 。 这 
些 名 称 的 前 级 标识 的 是 以 太 帧 的 速率 而 不 是 信道 容量 。 不 同类 型 以 太 网 的 数据 帧 结构 完全 
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相同 ,因此 相互 兼容 ,可 在 同一 个 以 太 网 中 传输 ,不 同 的 是 由 每 个 以 太 帧 头 部 的 “前 导 符 ”所 
代表 的 该 帧 的 时 钟 频率 ( 见 图 3. 2) 。 当 计算 机 网 卡 从 收 到 的 以 太 帧 头 部 的 前 导 符 中 判断 出 
该 帧 的 时 钟 频率 后 ,网 卡 会 自 适应 地 将 自己 的 时 钟 频率 与 收 到 的 帧 频 同步 ,从 而 正确 地 读 取 
该 以 太 帧 。 例 如 : 在 图 3. 3 的 Wireshark 捕获 的 以 太 帧 分 析 中 ,就 用 Ethernet II 表示 收 到 
的 帧 的 速率 是 100Mbps。 

以 太 网 的 信道 容量 一 般 按照 标准 帧 速 在 理想 情况 下 的 极限 值 估 算 ,实际 中 是 远 小 于 理 
想 值 的 。 现 实 中 以 太 网 的 信道 容量 取决 于 诸多 因素 : 混杂 传输 的 各 种 不 同 长 度 和 不 同 速率 
的 以 太 帧 ,以 太 帧 之 间 的 冲突 与 线路 侦 听 延 时 间隔 、 网 络 结构 和 设备 配置 是 否 合理 等 。 以 太 
网 不 属于 同步 数据 通信 系统 (如 SDH、ATM 等 ) , 它 的 信道 容量 与 标准 帧 速率 之 间 没 有 直接 
的 数学 关系 。 因 此 快速 以 太 网 的 信道 容量 并 不 是 “100Mbps”, 实 际 中 远 小 于 此 值 。 千 兆 以 
太 网 的 信道 传输 容量 也 不 是 快速 以 太 网 的 10 倍 。 

(8) 以 太 网 的 吞吐 量 (Throughput) 。 一 个 以 太 网 中 往往 混杂 传输 着 上 述 各 种 不 同 速率 
和 不 同 长 度 的 以 太 帧 ,并 且 还 混杂 传输 着 由 于 冲突 碰撞 、 劣 质 线路 产生 误 码 .设备 配置 不 佳 
和 电磁 干扰 等 原因 导致 的 损坏 帧 。 以 太 网 的 吞吐 量 标识 的 是 网 络 数据 流 中 成 功 传输 的 有 效 
成 分 ,用 于 评价 网 络 的 传输 质量 。 吞 吐 量 的 单位 是 “比特 / 秒 ”(b/s), 有 些 场合 还 用 * 包 / 秒 ” 
(Data Packets per Second)。 吞 吐 量 有 几 种 不 同 的 度量 方法 : 最 大 理论 吞吐 量 .峰值 测量 吞 
吐 量 . 归 一 化 甜 吐 量 等 。 因 此 以 太 网 的 吞吐 量 总 是 小 于 或 等 于 网 络 实际 传输 的 数据 流量 的 。 

(9) 同步 数据 通信 系统 的 信道 容量 (Channel Capacity) 。 表 示 一 个 同步 数据 通信 系统 
(如 SDH、ATM 等 ) 的 信道 在 单位 时 间 里 能 可 靠 传输 的 最 大 信息 量 。 例 如 ,为 了 从 校园 网 访 
问 互联 网 的 资源 ,可 去 电信 网 络 公 司 租用 一 个 容量 为 100Mbps 的 专用 信道 将 本 单位 的 局 域 
网 通过 防火 墙 、 路 由 器 等 接 入 互联 网 。 这 种 由 SDH 同步 数据 通信 网 提供 的 固定 的 租用 信 
道 , 其 容量 取决 于 在 SDH 每 帧 的 净 负 荷 区 中 指定 的 载荷 字 节 量 , 以 及 信道 标准 速率 ,其 值 
是 可 以 准确 计算 出 的 , 详 见 图 2.23。 因 此 同步 通信 网 的 信道 容量 代表 其 实际 传输 能 力 的 上 
限 值 ,在 租用 期 内 由 用 户 独占 。 如 果 校 园 网 里 同时 上 网 的 人 多 了 ,超过 了 租用 的 信道 容量 ， 
则 路 由 器 将 传输 不 了 的 数据 包 抛 弃 。 反 之 ,如 果 夜 间 无 人 上 网 了 ,该 信道 空闲 ,别人 也 不 能 
用 。 这 种 固定 信道 的 利用 率 比 较 差 ,但 可 靠 性 和 低 延 时 比 以 太 网 好 。 各 种 不 同 数据 通信 系 
统 的 子 信道 接口 标准 容量 见 第 2 章 的 介绍 。 

建议 按照 本 书 的 案例 和 实验 ,认真 地 在 自己 的 网 络 计 算 机 上 进行 网 络 数据 捕获 与 分 析 。 
正确 理解 上 述 这 些 基 本 概念 ,将 有 助 于 分 析 和 解决 网 络 中 层出不穷 的 各 种 安全 问题 。 


1.5 本 章 小 结 


本 章 的 目的 是 让 读者 建立 起 对 互联 网 的 总 体 概念 ,讨论 了 基于 分 层 概念 的 网 络 结构 。 
层 的 定义 就 是 将 网 络 的 功能 分 成 功能 模块 ,以 便 根 据 不 同 的 应 用 进行 不 同 的 组 合 与 付 诸 实 
施 。 每 层 为 上 层 提供 特定 的 服务 ,每 层 基于 下 层 提 供 的 服务 来 构建 自己 本 层 应 当 实现 的 功 
能 。 例 如 ,可 使 用 应 用 层 协 议 开 发 各 种 应 用 ,而 应 用 层 协议 建立 在 传输 层 TCP 和 UDP 提供 
的 通信 服务 上 。 这 些 传 输 层 协议 又 建立 在 IP 提供 的 数据 报 服 务 基础 上 ,IP 协议 可 以 运行 
于 各 种 各 样 的 底层 网 络 技术 上 。 网 络 分 层 构架 的 优点 是 允许 独立 地 开发 各 层 的 应 用 ,而 不 
需要 考虑 其 下 层 的 网 络 技术 。 当 前 的 各 种 底层 数据 通信 网 络 都 支持 IP 数据 包 的 传输 , 例 
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如 : SDH 同步 数据 通信 和 网、 以 太 网 络 .PPP 点 对 点 协议 网 络 ,3G 移动 通信 网 络 等 。 

传输 层 的 TCP 支持 的 上 层 应 用 有 HTTP. HTTPS,FTP,SMTP 和 Telnet 等 。UDP 
支持 的 上 层 的 应 用 有 DNS 和 RTP 等 。TCP/IP 构架 的 优点 就 在 于 运行 在 TCP 或 UDP 上 
层 的 任何 应 用 都 可 运行 于 整个 全 球 互 联网 。 当 前 随 着 电子 商务 技术 ,以 及 P2P 对 等 网 络 协 
议 的 发 展 , 各 种 新 的 服务 和 应 用 迅速 地 在 全 球 范围 开发 , 随 之 而 来 的 是 对 网 络 安全 技术 不 断 
完善 和 知识 普及 的 迫切 需要 。 文 中 也 介绍 了 如 何 通过 网 络 数据 的 捕获 与 分 析 , 来 学 习 和 研 
究 网 络 安全 维护 和 管理 的 基本 方法 ,详细 介绍 请 看 第 7 章 。 通 过 应 用 这 些 工具 可 获得 对 
TCP/IP 网 络 和 网 络 安全 技术 的 深入 理解 。 


习题 与 实践 


1. OSI 模 型 中 的 哪 一 层 处 理 以 下 问题 ? 
a. 把 传输 的 bit 流 分 成 帧 b. 在 通过 路 由 器 的 时 候 决 定 使 用 哪 条 路 径 转发 
c, 把 数据 压缩 或 加 密 后 传输 ”d. 把 传输 后 乱 序 的 数据 段 组 装 还 原 
2. 当 一 台 计 算 机 发 送 E-mail 信息 给 另外 一 台 计算 机 时 ,下 列 哪 一 个 过 程 正确 描述 了 
发 送 端 数据 封装 的 5 个 步骤 ? 哪 一 个 过 程 描述 了 接收 端 解 封装 获取 邮件 内 容 的 过 程 ? 
a， 邮件 数据 ,数据 段 ,数据 包 ,数据 帧 ,比特 
b. 比特 ,数据 帧 ,数据 包 , 数 据 段 ,邮件 数据 
c. 数据 包 , 数 据 段 ,邮件 数据 ,比特 ,数据 帧 
d. 数据 段 ,数据 包 ,数据 帧 ,比特 ,邮件 数据 
3. 将 下 列 各 项 与 TCP/IP 五 层 模型 对 应 起 来 。 
a， 可 靠 的 进程 到 进程 数据 传输 b. 路 由 选择 


c. 构成 数据 帧 d. 为 用 户 提供 诸如 E-mail 和 Web 访问 的 服务 
4. TCP/IP 协议 族 中 的 哪 种 传输 协议 (UDP 还 是 TCP) ,可 应 用 于 下 列 服务 中 ? 

a. 语音 传输 b. 文件 传输 

c, 远程 登录 d. 多 播 通信 ( 设 有 多 个 目的 主机 ) 


5. 认识 自己 的 计算 机 。 了 解 自己 的 计算 机 有 哪些 网 络 通信 接口 ? 各 网 络 接口 的 地 址 
是 什么 ? 接口 的 通信 速率 是 多 少 ? (10/100/1000Mbps 以 太 网 卡 ,IEEE 802. 11 无 线 局 域 
网 卡 ,PPP 拨号 接口 等 ) 。 

6. 以 太 网 提供 的 是 面向 连接 的 服务 还 是 无 连接 服务 ? 

7. 在 面向 连接 的 网 络 中 是 否 可 以 提供 无 连接 的 数据 报 传输 的 服务 ? 

8. 请 详细 阅读 图 1. 21 中 Wireshark 捕获 的 数据 包 的 内 容 。 指 出 图 中 每 个 包 中 数据 的 
含义 。 并 且 在 自己 的 网 络 计 算 机 上 安装 Wireshark 软件 ,捕获 自己 的 上 网 数据 ,进行 同样 的 
详细 分 析 。 

9. IE 浏览 器 将 部 分 Web 网 页 内 容 及 Cookies 存储 在 本 机 的 互联 网 临时 文件 夹 中 , 找 
到 它们 在 下 浏览 器 中 存储 的 位 置 。 分 析 这 些 文件 中 所 包含 的 信息 。 你 对 IE 浏览 器 的 安全 
问题 作 了 什么 设置 ? 

10. 对 比 电 子 邮 件 报 文 的 组 成 部 分 与 普通 信件 有 哪些 异同 之 处 ? 例如 : 发 信人 地 址 和 
姓名 ,发 信 日 期 \ 收 信人 地 址 和 姓名 ,信件 的 标题 \ 信 件 的 内 容 等 。 
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11. 在 图 1. 15 中 并 没有 画 出 计算 机 每 次 接 和 网络 时 都 要 运行 的 动态 主机 配置 协议 
DHCP 在 互联 网 协议 关系 图 中 的 位 置 , 请 按照 第 7 章 介绍 的 实验 方法 ,捕获 自己 计算 机 网 
络 接口 的 以 太 网 数据 ,从 中 分 析 判 断 常用 的 DHCP 动态 主机 配置 协议 在 图 中 的 位 置 , 并 增 
添 标注 在 图 1. 15 中 。 

12. 请 按照 附录 C 的 例子 进行 各 种 不 同 进 制 数 之 间 的 换算 练习 ,以 便 准确 理解 后 续 网 
络 基础 知识 。 请 将 IP 地 址 202. 203. 208. 33 换算 为 十 六 进 制 数 、 二进制 数 和 十 进 制 数 的 表 
达 方 式 。 
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第 2 章 广域网 接 入 与 身份 认证 技术 


本 章 简要 讨论 几 种 常用 的 互联 网 远程 接 入 技术 : 利用 电话 信道 的 调制 解 调 器 (Modem) 
技术 ;利用 电信 用 户 线路 的 xDSL 技术 ;点 对 点 通信 协议 (PPP); 口 令 认证 协议 (PAP) 和 挑 
战 握手 身份 认证 协议 (CHAP) 两 种 身份 认证 技术 ;对 网 络 用 户 的 AAA 认证 ,授权 和 计 费 的 
方法 :远程 认证 拨号 用 户 服务 协议 (RADIUS) 及 其 应 用 ;以 太 网 业务 在 基于 SDH 同步 光纤 
数据 通信 系统 的 多 业务 传输 平台 MSTP 上 的 实现 ;SDH 系统 在 构建 计算 机 广域网 和 城 域 
网 中 的 应 用 。 


2.1 电信 系统 的 互联 网 接 人 服务 


2.1.1 电路 交换 的 概念 


在 通信 和 网络 中 需要 通过 通信 线路 将 各 种 网 络 设备 连接 起 来 ,以 便 传输 信息 。 连 接 的 方 
式 有 各 种 不 同 的 形式 ,如 果 将 每 台 设备 都 用 专用 传输 线 连 接 到 其 他 所 有 设备 ,那么 传输 线路 
将 非常 复杂 和 昂贵 。 另 外 一 种 方式 是 通过 一 条 总 线 将 所 有 设备 连接 起 来 ,但 是 随 着 设备 的 
数量 和 设备 间 的 距离 增加 ,此 共享 信道 的 容量 将 不 堪 重 负 。 较 好 的 方式 是 采用 交换 方式 进 
行 联网 。 交 换 网 络 由 一 系列 相互 连接 的 节点 构成 ,这 些 节 点 称 为 交换 机 。 交 换 机 可 以 将 与 
它 相 连 的 各 设备 之 间 根 据 需 要 进行 暂时 的 接 通 , 让 它们 互相 通信 ,通信 结束 后 断 开 连接 ,这 
些 设备 有 些 是 网 络 终端 , 另 一 些 是 路 由 器 等 。 如 图 2. 1 所 示 , 通 信 终 端 是 A,B,C,…,1,J 
等 ,通过 交换 机 互 连 构成 一 个 交换 式 通信 网 络 。 


终端 | B C D E 
交换 网 络 
一 DC 一 
电路 交 | 。「 所 交换 | | 消息 交 
A xX 、 交换 机 [Xi | F 换 网 络 网 络 后 
终 妖 交换 机 | XJ 终 喘 
数据 报 虑 电路 
终端 | J I H | G 网 络 网 络 


图 2.1 交换 网 络 及 其 分 类 


交换 网 络 分 为 3 种 类 型 : 电路 交换 网 络 .数据 包 交 换 (也 称 分 组 交换 ) 网 络 、 消 息 报 文 交 
换 网 络 。 目 前 广泛 使 用 的 是 前 两 类 交换 网 络 。 包 交换 网 络 又 可 以 再 分 为 数据 报 交 换 和 虚 电 
路 交换 网 络 。 
电路 交换 网 络 由 交换 机 和 物理 线路 连接 构成 ,每 条 物理 线路 构成 一 个 信道 。 通 信 的 过 
程 分 为 3 个 阶段 : 通信 之 前 先 要 建立 物理 线路 的 连接 ,然后 传输 数据 ,通信 结束 后 再 断 开 线 
路 的 连接 。 由 于 通信 的 双方 在 进行 数据 传输 时 ,对 信道 是 独占 的 ,因此 线路 利用 率 较 低 。 但 
是 电路 交换 具有 很 小 的 传输 延迟 ,特别 适合 于 传输 实时 性 的 语音 和 视频 等 业务 。 有 线 电话 
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就 是 一 种 面向 连接 的 电路 交换 网 络 。 
2.1.2 电话 系统 的 信 令 和 数据 传输 系统 


有 线 电话 系统 由 3 个 主要 的 部 分 构成 : 终端 局 、 中 继 局 和 区 域 局 构成 。 将 用 户 设备 与 
最 近 的 终端 局 连接 的 线路 称 为 接 入 网 (access network 或 本 地 用 户 回路 ) , 它 的 模拟 信和 号 传 
输 带 宽 是 话音 的 频率 范围 300 一 4000Hz。 电 话 号 码 是 由 若干 层次 构成 的 ,例如 : 电话 号 码 
086-010-5031132 的 层次 信息 是 : 国家 代码 (中 国 为 086) 、 区 域 局 代码 (北京 为 010)、 交 换 局 
代码 (503)、 本 地 用 户 代码 (1132)。 不 同 地 区 的 电话 号 码 位 数 有 所 不 同 。 通 常 由 光缆 或 电缆 
WO 车 接 起 来 。 

.电话 信 令 系统 

ste 电路 交换 网 络 
需要 在 双方 通话 之 前 先 建 立 连接 ,双方 通话 结束 后 拆除 连接 。 早 期 打 电 话 时 ,电路 的 连接 和 
释放 是 由 电话 接线 员 手 工 操作 的 ,接线员 听 到 呼叫 方 的 铃声 后 ,对 用 户 身份 进行 识别 认证 ， 
如 果 被 叫 方 的 线路 空闲 ,就 用 连接 导线 将 呼叫 方 与 被 叫 方 的 线路 接 通 ,通话 结束 后 通信 双方 
之 一 通知 接线 员 拆 除 线路 。 后 来 出 现 了 专用 交换 电路 来 处 理 这 样 的 通话 业务 ,但 是 过 程 是 
相同 的 。 这 样 的 通话 业务 控制 的 信 令 (Signaling) 称 为 带 内 信 令 (in-band signaling) ,因为 使 
用 同一 条 线路 来 传输 通信 业务 管理 所 需 的 信 令 和 用 户 话音 信 

后 来 的 电话 信 令 系统 实现 了 自动 化 ,发 明了 用 电话 拨号 盘 来 发 送 代 表 电 话 号 码 的 数字 
信和 号。 电信 公司 的 交换 机 利用 拨号 的 信息 在 主 叫 方 与 被 叫 方 之 间 建 立 连接 。 现 代 电 话 网 络 
系统 中 ,将 通信 控制 的 信 令 传输 和 处 理 功能 独立 出 来 ,形成 了 带 外 信和 令 (out-of-band 
signaling) ,即将 信道 的 一 部 分 频带 用 来 传输 信 令 ,与 语音 的 传输 频带 是 分 离 的 。 信 令 系 统 
执行 的 功能 如 下 : 

(1) 提供 拨号 音 、 振 铃 音 和 忙 音 。 

(2) 在 电信 分 局 之 间 传 输 用 户 的 电话 号 码 。 

(3) 维持 和 监测 电话 通话 。 

(4) 记录 电话 用 户 的 话费 账单 信息 。 

(5) 维护 和 监测 电话 网 络 设备 的 工作 状态 。 

(6) 提供 附加 功能 : 如 来 电 号 码 显示 ,语音 信箱 、 短 信 业 务 等 。 

在 现代 电话 网 络 中 ,话音 数据 与 信 令 的 传输 任务 是 由 两 个 分 开 的 网 络 执 行 的 : 数据 传 
输 网 络 和 信 令 网 络 。 这 两 个 网 络 是 由 同一 个 物理 系统 中 的 不 同 的 信道 构成 的 。 

2. 数据 传输 网 络 

用 于 传输 数字 化 的 多 媒体 (语音 或 视频 ) 信 息 ,在 大 多 数 情 况 下 它 是 一 个 虚 电 路 交换 网 络 。 

3. 信 令 网络 
电信 系统 中 的 信 令 网 络 是 一 个 包 交 换 网 络 , 包 含 了 与 OSI 开放 系统 互联 参考 模型 或 互 
联网 参考 模型 相似 的 层次 结构 。 由 于 信 令 信号 的 特征 ,使 得 它 更 适合 采用 具有 不 同 层次 的 
包 交 换 网 络 来 构成 。 例 如 ,用 于 传输 电话 号 码 地 址 的 数据 包 , 可 以 包含 差错 控制 信息 和 电话 
地 址 信息 。 图 2. 2 为 一 个 最 简单 的 电话 网 络 的 结构 图 ,在 系统 内 这 两 个 网 络 是 分 开 的 。 

用 户 电 话机 或 计算 机 通过 接 入 网 的 用 户 环 路 连接 到 信号 点 (Signal Point,SP), 在 此 接 
入 网 线路 上 信 令 网 和 数据 传输 网 是 共用 的 。 信 令 网 络 使 用 信号 传输 点 (Signal Transport 
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ST 信号 传输 点 SEE SCP 


I 
人 此 令 控 制 网 络 
STP STP STP 
~N\ 了 
用 户 数据 传输 网 络 


图 2.2 电话 网 络 由 数据 传输 网 络 与 信 令 网 络 构成 


Point,STP) 来 接收 和 转发 信 令 的 消息 。 信 令 网 络 还 使 用 服务 控制 点 (Service Control 
Point,SCP) 来 控制 整个 网 络 运行 :数据库 提供 存储 整个 信 令 网 络 的 信息 

用 于 控制 信 令 网 络 的 协议 称 为 七 号 信 令 系统 (Signaling System Seven,SS7) , 它 与 互联 
网 的 5 层 模 型 很 相似 ,但 是 各 层 的 名 称 不 同 ,如 图 2. 3 所 示 。 


TUP MTP : 消息 传输 部 分 


上 面 各 层 | TCAP | SCCP | !SUP | SCCP : 信 令 连接 控制 点 
TCAP : 交易 功能 应 用 点 
网 络 层 MTP Level 3 TUP : 电话 用 户 点 
数据 链 路 层 | 。 MTP Level2 ISUP : ISDN 用 户 点 


物理 层 
图 2.3 七 号 信 令 系统 中 的 各 层 功能 


MTP Level 1 


物理 层 MTP Level 1: SS7 的 物理 层 称 为 消息 传输 部 分 (Message Transport Part Level 
1,MTP level 1) , 它 定 义 了 诸如 E-1(2. 048Mbps) 和 DC0(64kbps) 等 传输 参数 。 

数据 链 路 层 MTP Level 2: 它 提供 了 典型 的 数据 链 路 层 的 服务 ,如 构建 数据 包 ,在 其 头 
部 包含 源 和 目的 地 址 ,以 及 CRC 循环 元 余 检 错 码 ( 见 本 书 附录 D) 。 

网 络 层 MTP Level 3: 它 利 用 传输 交换 网 络 中 的 数据 报 ,提供 终端 对 终端 的 连接 。 路 
由 器 和 交换 机 将 信和 令 包 从 源 端 传输 到 目的 端 。 

传输 层 SCCP: 信 令 连接 控制 点 (Signaling Connection Control Point) 用 于 诸如 800 被 
叫 方 付费 电话 之 类 的 特殊 业务 。 

上 层 有 3 个 协议 : 电话 用 户 点 (Telephone User Point, TUP) 用 于 建立 语音 电话 的 连 
接 , 它 接收 拨号 的 数字 号 码 , 路 由 转发 呼叫 。 交 易 功 能 应 用 点 (Transaction Capabilities 
Application Port,TCAP) 提 供 长 途 呼叫 , 它 让 一 台 计 算 机 中 的 应 用 程序 激活 另 一 台 计 算 机 
中 的 进程 。ISDN 综合 业务 网 用 户 点 ISUP 能 够 取代 TUP ,提供 与 ISDN 网 络 相似 的 业务 。 


2.1.3 电信 系统 提供 的 互联 网 接 入 服务 


电信 系统 为 用 户 提供 的 是 面向 连接 的 通信 服务 , 即 通信 的 第 一 步 首先 要 为 通信 的 双方 
建立 信道 的 连接 (例如 拨号 等 ) ,然后 开始 传输 话音 或 数据 ,传输 结束 后 再 断 开 信道 的 连接 
〈 例 如 挂机 等 ) 。 

模拟 电信 业务 : 向 用 户 提 供 模拟 信息 的 传输 服务 ,可 以 将 这 类 服务 再 分 为 模拟 交换 业 
务 和 模拟 租用 专线 业务 。 

模拟 交换 业务 就 是 常用 的 拨号 电话 ,用 一 对 双 绞 线 将 用 户 的 电话 机 与 本 地 交换 局 连接 ， 
。 35 。 


电缆 上 传输 的 是 模拟 电信 号 ,频率 范围 是 300~~3400Hz。 除 了 传输 普通 用 户 的 电话 信号 外 ， 
还 可 利用 Modem 将 用 户 计算 机 的 上 网 数据 信号 调制 在 此 模拟 语音 频带 内 ,通过 模拟 传输 
信道 的 拨号 方式 访问 互联 网 。 它 的 优点 是 计算 机 可 直接 利用 普通 电话 信道 访问 互联 网 ,但 
速率 不 超过 56kbps。 

数字 电信 业务 : 一 种 方式 是 利用 电话 线路 传输 以 64kbps 为 基本 速率 单位 的 数字 信号 ， 
一 般 采 用 租用 专线 的 方式 接 人 系统 ,例如 ,综合 业务 数据 网 ISDN 等 。 另 一 种 方式 是 下 面 讨 
论 的 xDSL 技术 。 


2.1.4 拨号 调制 解 调 器 


传统 的 模拟 电话 线路 的 传输 频率 为 300 一 3400Hz, 有 效 带 宽 3000Hz, 这 是 为 了 减少 信 
道 间 的 干扰 而 加 入 了 带 通 滤波 器 。 用 于 传输 调制 解 调 器 的 数据 调制 的 模拟 信号 时 ,其 使 用 
频带 为 600 一 3000Hz, 有 效 带 宽 2400Hz, 这 是 为 了 与 模拟 电话 线路 信道 完全 兼容 ,如 图 2. 4 
所 示 。 调 制 解 调 器 包含 了 调制 器 (发 送 ) 和 解 调 器 (接收 ?两 个 部 分 。 
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图 2.4 调制 解 调 器 的 工作 原理 和 频带 


发 送 方 的 计算 机 将 数字 信号 传 给 调制 器 ,调制 器 将 数据 信号 调制 到 600 一 3000Hz 的 音 
频 载波 上 ,通过 普通 电话 线路 传输 ,接收 方 将 载波 信号 解 调 后 还 原 出 计算 机 数据 信号 , 送 给 
接收 端的 计算 机 。 这 种 通信 方式 完全 在 普通 电话 信道 内 进行 ,不 需要 向 电信 部 门 进行 数据 
通信 业务 的 申请 或 登记 。 

1. 电话 用 户 线路 双 绞 线 的 特性 

电话 线 的 特性 指标 有 两 个 : 传输 带宽 和 频率 衰减 特性 。 在 传输 低频 信号 时 ,由 于 铜 芯 
导体 具有 电阻 , 随 着 传输 距离 的 增加 ,传输 信号 的 电压 幅度 下 降 ,产生 电 阻 损耗 。 在 传输 高 
频 信号 时 ,由 于 铜 导体 传输 高 频 信 号 的 趋 肤 效应 ,使 高 频 电 流 只 沿 着 铜 芯 导 体 的 表面 传输 ， 
使 有 效 传输 面积 减 小 ,高 频传 输电 阻 增加 ,信号 训 减 加 大 。 另 外 ,由 于 导线 具有 电感 值 , 感 搞 
随 着 信和 号 频率 的 增加 而 增加 。 同 时 ,高 频 电 流 在 导线 上 传输 时 ,会 产生 电磁 辐射 ,产生 辐射 
损耗 。 因 此 导线 对 低频 信号 的 衰减 较 小 , 随 着 信号 频率 的 增加 ,衰减 逐渐 增 大 。 传 统 电话 线 
的 最 高 可 用 带宽 约 1. 1MHz, 根 据 不 同 用 户 的 线路 距离 和 线路 质量 有 所 不 同 。 调 制 解 调 器 
在 每 次 拨号 通信 前 ,双方 要 先 对 线路 的 传输 质量 进行 自动 测试 ,双方 自动 协商 本 次 通信 采用 
的 频率 和 调制 方式 等 参数 。 因 此 一 个 Modem 可 支持 不 同 的 技术 标准 ,在 不 同 的 线路 情况 
下 使 用 不 同 的 传输 速率 。 

同时 , 当 一 对 导线 处 于 外 界 的 交 变 磁场 中 时 ,导线 内 会 产生 感应 电流 ,拾取 外 界 的 电磁 
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干扰 信号 。 将 两 根 导线 双 绞 起 来 ,由 于 相 邻 绞 环 产生 的 感应 电流 大 小 相等 ,相位 相反 ,而 相 
互 抵 消 。 因 此 双 绞 线 可 以 减少 拾取 外 界 的 电磁 干扰 ,同样 的 原理 也 可 减少 对 外 界 的 电磁 辐 
射 。 传 输 的 信号 频率 越 高 ,要 求 相 邻 绞 环 的 距离 越 短 , 即 双 绞 线 单位 长 度 的 绞 环 数 越 多 。 常 
用 的 双 绞 线 有 : 3 类 线 ( 用 于 电话 用 户 线 和 10Base-T 以 太 网 ),5 类 和 超 5 类 线 ( 用 于 
100Base-T 以 太 网 ) ,6 类 线 (用 于 1000Base-T 以 太 网 等 )。 计 算 机 一 般 有 两 个 网 络 接口 ,一 
个 是 基于 电话 线 拨号 的 调制 解 调 器 接口 ,使 用 RJ-11 接头 ; 另 一 个 是 基于 双 绞 线 的 以 太 网 接 
口 , 使 用 RJ-45 接头 。 详 见 第 3 章 的 介绍 。 

2. 正 交 幅度 调制 技术 

正 交 幅度 调制 (Quadrature Amplitude Modulation,QAM) 是 当前 数据 通信 (卫星 ,数字 
电视 ,移动 通信 、 调 制 解 调 器 等 ) 系 统 中 使 用 最 广泛 的 调制 技术 , 它 是 幅度 键 控 (ASK) 调 制 
和 相位 键 控 (PSK) 调 制 的 合成 。 它 将 传输 的 数据 信号 分 为 两 路 ,分 别 对 两 个 频率 相同 而 相 
位 差 90" 的 载波 进行 幅度 键 控 调制 ,然后 再 线性 相 加 ,合成 一 个 相位 和 幅度 都 键 控 可 变 的 已 
调 载波 ,通过 传输 信道 进行 传输 。 在 接收 端 进行 相反 的 处 理 , 解 调 取 出 数据 信号 ,其 基本 概 
念 如 图 2.5 所 示 。 


Ak Cos (2rfct) se 
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BL Oarsn (2rfet) 0O | 低 通 滤波 Bi 
发 送 端 接收 端 


图 2.5 正 交 幅度 调制 的 发 送 和 接收 过 程 


QAM 载波 信号 的 每 一 种 状态 由 幅度 值 和 相位 值 来 共同 确定 ,单位 : 波 特 (baud)。 每 
个 载波 状态 可 用 相位 图 上 的 一 个 信号 点 来 表示 , 称 为 QAM 星座 图 (constellation) ,如 图 2.6 
所 示 。 代 表 载 波 信号 的 点 与 直角 坐标 原点 的 距离 表示 载波 的 幅度 ,信号 点 与 原点 的 连 线 与 
0° 横 坐标 的 夹 角 为 载波 信号 的 相位 。 例 如 ,在 图 2.6 上 图 中 的 星座 图 共有 32 个 点 ,说 明 此 
信号 共有 32 种 不 同 的 状态 , 记 为 32-QAM ,每 个 状态 可 以 代表 的 数据 量 为 log; (32) 二 5bit。 
5bit 的 二 进 制 数 共有 32 个 (00000,00001,…… ,11111), 因 此 可 建立 一 个 对 照 表 ,将 载波 的 
32 种 状态 与 32 个 5bit 数 对 应 起 来 ,这 样 每 种 载波 的 状态 对 应 着 唯一 的 一 个 5bit 的 数据 组 。 
当 接 收 端 每 收 到 一 个 载波 状态 ,就 可 查 表 得 出 该 状态 代表 的 5bit 数据 。 每 秒 钟 收 到 的 状态 
数 (baud/s) 乘 以 每 个 状态 所 代表 的 比特 数 (bit/baud) 就 等 于 QAM 的 信道 速率 。 例 如 ,在 
图 2.6 的 下 图 中 ,载波 信号 共有 128 种 不 同 的 状态 , 记 为 128-QAM ,每 种 状态 的 载波 可 传输 
携带 的 数据 量 为 log*(128) =7bit。 如 果 每 秒 钟 传输 2400 个 不 同 状态 的 载波 , 即 波 特 率 为 
2400baud/s, 每 波 特 传输 5bit 数据 ,那么 此 QAM 通信 系统 的 数据 传输 速率 为 2400baud/sX 
5bit/baud =12 000bit/s。 

信号 点 越 多 的 星座 图 ,每 个 波 特 ( 即 载波 信号 状态 ) 可 表示 的 数据 量 越 大 ,但 是 相 邻 信号 
点 之 间 的 距离 越 小 ( 即 相 邻 信 号 状态 的 幅度 差 和 相位 差 减 小 ), 当 受到 传输 过 程 中 的 噪声 等 
干扰 后 越 容易 产生 误 判 ,导致 接收 误 码 率 增加 。 而 信和 号 点 越 少 的 星座 图 , 相 邻 信和 号 点 的 距离 
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V.32 Modem 32-QAM 全 双 工 通信 ， 
波 特 率 2400 baud/s， 数 据 率 9600 bps 
时 
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V.32 bis Modem 128-QAM 全 双 工 通信 ， 
波 特 率 2400 baud/s， 数 据 率 14400 bps 


图 2.6 V.32 和 V.32 bis 调制 解 调 器 的 QAM 星座 图 和 主要 技术 参数 


越 大 ( 即 相 邻 信 号 状态 的 幅度 差 和 相位 差 较 大 ) .受到 同样 幅度 的 干扰 后 不 易 产 生 误 判 , 抗 干 
扰 的 能 力 较 强 , 但 是 每 波 特 所 能 表示 的 数据 较 少 ,数据 传输 速率 较 低 。 因 此 通信 的 双方 需 根 
据 线路 质量 和 干扰 状况 ,在 保证 一 定 误 码 率 情况 下 ,实测 并 协商 尽 可 能 采用 较 高 速率 的 
QAM 星座 图 。 

3. 调制 解 调 器 的 技术 标准 

调制 解 调 器 遵循 国际 电信 联盟 ITU-T 序列 的 技术 规范 ,当前 常用 的 几 个 技术 标准 简介 
如 下 : 

(1) V.32 和 V. 32 bis 调制 解 调 器 。V. 32 调制 解 调 器 使 用 的 调制 方式 称 为 格 码 调制 
(Trellis-coded modulation) ,这 是 一 种 包含 1bit 宛 余 纠 错 码 的 正 交 幅度 调制 技术 。 发 送 方 
先 将 输入 的 串 行 数据 流 划分 为 4bit 的 数据 段 ,由 每 段 的 4bit 计算 出 1bit 的 纠 错 码 ,转换 为 
5bit 的 线路 码 组 发 送出 去 。 多 出 来 的 1bit 是 由 数据 段 的 值 按 纠 错 码 的 计算 方法 算出 来 的 ， 
用 于 接收 端的 检 错 。 在 接收 端 ,根据 收 到 的 每 个 载波 状态 ,获得 对 应 的 5bit 的 线路 码 组 , 取 
出 其 中 的 1bit 纠 错 码 对 4bit 的 数据 进行 纠 错 ,然后 抛弃 纠 错 码 ,得 到 4bit 的 数据 。 将 每 个 
载波 状态 传输 的 数据 串 接 在 一 起 形成 串 行 数据 流 输出 。 

V. 32 使 用 32-QAM 星座 图 的 调制 模式 ,线路 的 波 特 率 为 2400 baud/s。 因 为 每 5bit 的 
线路 码 组 中 只 有 4bit 数据 ,因此 数据 速率 一 4X2400 一 9600bps。 

V.32 bis 是 ITU-T 的 第 一 个 支持 14400bps 传输 速率 的 调制 解 调 器 标准 。 它 使 用 128- 
QAM 星座 图 的 调制 模式 ,每 波 特 传输 7bit 数据 (7bit/baud) ,其 中 有 1bit 是 误 码 控制 。 因 
此 数据 速率 为 (7 一 1) X2400 二 14400bps。 此 调制 解 调 器 可 以 根据 传输 线路 的 传输 质量 , 自 
动 选择 传输 速率 为 9600bps 或 14400bps。 图 2. 6 为 V.32 和 V.32 bis 的 QAM 调制 星座 图 
和 主要 技术 参数 。 

(2) V. 90 调制 解 调 器 。 它 的 传输 速率 可 达 56kbps, 当 一 台 PC 通过 V. 90 调制 解 调 器 
连接 到 ISP 互联 网 服务 提供 商 的 时 候 , 从 ISP 到 PC 的 最 大 下 行 速率 为 56kbps, 而 从 PC 到 
ISP 的 最 大 上 行 速率 为 33. 6kbps。 这 是 因为 从 ISP 到 PC 的 下 行 数 字 信 号 没有 量化 噪声 ， 
信 噪 比 SNR 较 高 。 而 从 PC 向 ISP 上 行 传输 信号 的 时 候 ,Modem 发 送 的 数字 调制 的 模拟 
信和 号 在 电信 局 的 交换 机 中 被 取样 和 量化 ,量化 噪声 降低 了 SNR 信 品 比 , 上 行 极限 速率 为 
33. 6kbps。 
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(3) V.92 调制 解 调 器 。 它 能 根据 信道 的 噪声 情况 调整 传输 速率 ,最 大 上 行 速率 为 
48kbps, 最 大 下 行 速 率 仍 为 56kbps。 它 的 附加 功能 之 一 是 , 当 PC 在 上 网 的 时 候 ,如 果 有 电 
话 呼 人 ,可 以 中 断 互联 网 的 连接 , 转 和 人 语音 电话 状态 。 


2.1.5 数字 用 户 线路 xDSL 


当 利 用 电话 音频 信道 进行 数据 通信 的 Modem 传输 速率 达到 理论 极限 后 ,电信 公司 开 
发 了 新 的 高 速 访问 互联 网 的 技术 : 数字 用 户 线路 (Digital Subscriber Line, DSL)。 它 采用 
了 两 个 重要 的 技术 来 提高 数据 传输 速率 : 

(1) 仍然 使 用 现 有 的 电话 线路 ,但 是 取消 了 电话 信道 中 的 300 一 4000Hz 语音 带 通 滤波 
器 ,因此 可 用 带宽 就 可 扩展 到 双 绞 线 的 上 限 频 率 约 1. 1MHz。 

(2) 采用 离散 多 音调 制 技术 ,将 双 绞 线 的 可 用 带宽 分 为 256 个 模拟 子 信道 ,每 个 子 信道 
用 QAM 数字 调制 ,多 个 子 信 道 并 行 传输 数据 。DSL 包括 一 组 不 同 的 技术 规范 : ADSL、 
VDSL、HDSL 和 SDSL。 由 于 每 种 技术 规范 名 称 的 差别 只 是 第 一 个 字母 ,因此 也 称 为 
xDSL。 

1. ADSL 

第 一 种 技术 规范 是 非 对 称 数字 用 户 线 路 (Asymmetric Digital Subscriber Line, ADSL)， 
非 对 称 是 因为 它 的 下 行 速率 (从 ISP 到 PC 的 数据 传输 ) 高 于 上 行 速 率 ( 从 PC 到 ISP 的 数据 
传输 )。 该 技术 适合 于 居民 用 户 利 用 已 有 的 双 绞 线路 访问 互联 网 ,不 适合 于 要 求 上 行 和 下 行 
数据 速率 相等 的 商业 应 用 (例如 双向 可 视 电 话 会 议 等 )。 它 采用 以 下 两 个 技术 充分 地 利用 了 
整个 用 户 线路 的 可 用 带宽 。 

(1) 利用 现 有 的 用 户 线 路 ,但 取消 电信 交换 局 中 电话 信道 的 300 一 4000Hz 话音 滤波 器 ， 
这 样 双 绞 线 的 实际 可 利用 带宽 可 达 约 1. 1MHz。xDSL 就 可 以 在 现 有 的 双 绞 线 上 实现 模拟 
话音 信号 和 计算 机 数据 的 同时 双向 传输 。 

电话 双 绞 线 的 1. 1MHz 传输 带宽 只 是 理论 值 , 由 于 不 同 用 户 与 电信 局 的 线路 长 度 不 
同 .电线 质量 不 同等 因素 ,导致 不 同 用 户 线路 的 实际 可 用 带宽 不 同 。xDSL 系统 在 传输 数据 
之 前 ,自动 对 线路 的 传输 带宽 和 各 频 点 的 信 品 比 进行 测量 ,为 双方 的 本 次 通信 协商 选 定 一 组 
技术 参数 (包括 使 用 的 子 信道 数 和 各 子 信道 的 QAM 调制 星座 图 等 ) ,然后 再 进行 通信 。 因 
此 ADSL 的 传输 速率 不 是 固定 的 ,根据 不 同 用 户 电缆 的 传输 质量 有 所 不 同 。 

(2) 离散 多 音调 制 技 术 。xDSL 采用 离散 多 音调 制 技 术 (Discrete Multi-tone Technique， 
DMT) , 它 是 正 交 幅度 调制 (QAM) 和 频 分 多 路 复 用 (FDM) 的 一 种 组 合 技术 。 它 将 双 绞 线 的 
理论 可 用 带宽 1. 104MHz 划分 为 256 个 子 信 道 , 子 信道 编号 为 0 一 255 ,每 个 子 信道 的 频率 
带宽 为 4.312kHz。 将 计算 机 网 络 的 串 行 数据 转换 为 多 路 并 行 数据 ,每 路 数据 对 一 个 子 信 
道 载波 进行 QAM 调制 ,利用 多 个 子 信 道 并 行 传输 。 到 了 接收 端 , 青 将 多 个 并 行 子 信 道 的 
QAM 传输 的 数据 解 调 后 ,转换 为 计算 机 网 络 的 串 行 数据 ,如 图 2.7 所 示 。 将 0 一 255 号 子 
信道 分 为 如 下 几 个 部 分 。 

@ 话音 模拟 信号 : 使 用 子 信道 0 号 (0~4kHz) 传 输 话音 信号 ,与 传统 的 有 线 电话 系统 


@ 隔离 保护 频带 : 子 信道 1 一 5 号 (4 一 26kHz) 为 空闲 频段 .用 于 话音 和 数据 频带 的 
隔离 。 
全 
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图 2.7 离散 多 音调 制 技术 


ADSL 中 的 频段 划分 如 图 2. 8 所 示 。 
上 


ADSC 中 的 
频段 划分 “| 双向 | 未 用 [上行 数据 本 
如 图 2.8 所 示 到 频带 | | 下 行 数据 和 控制 | 
0 4 26 108 138 1104 Rk) 


图 2.8 ADSL 中 的 频段 划分 


@ 上 行 数据 和 控制 信号 : 子 信道 6 一 30 号 (26 一 108kHz, 共 25 个 子 信道 ) 用 于 传输 上 
行 数据 和 控制 信号 。 其 中 1 个 子 信道 用 于 控制 ,24 个 子 信道 用 于 传输 上 行 数据 ,每 个 子 信 
道 使 用 4kHz 带宽 (小 于 4. 312kHz, 留 保护 频带 ), 采 用 QAM 调制 ,每 波 特 传输 数据 为 0 一 
15bit/baud。 因 此 理论 上 最 高 上 行 数据 传输 速率 为 : 24 个 子 信 道 X4000 波 特 / 秒 X15 比 
特 / 波 特 二 1. 44Mbps。 然 而 ,实际 中 一 般 小 于 500kbps, 因 为 在 每 次 通信 前 对 电缆 的 自 适应 
测量 中 会 发 现 , 有 些 子 信 道 的 载波 频率 上 信 品 比 太 差 ,不 能 采用 高 信号 点 的 QAM 星座 图 调 
制 ,有 些 子 信道 甚至 不 能 使 用 ,如 图 2. 9 所 示 。 
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图 2.9 根据 每 个 子 信 道 的 实测 信 品 比分 配 不 同 数量 的 比特 QAM 调制 后 并 行 传输 


@ 下 行 数据 和 控制 信号: 子 信道 31 一 255 号 (138 一 1104kHz, 共 225 个 子 信道 ) 用 于 传 

输 下 行 数据 和 控制 信号 。1 个 子 信道 用 于 控制 .224 个 子 信道 用 于 传输 下 行 数据 ,因此 理论 

上 最 高 下 行 数据 传输 速率 为 : 224 个 子 信 道 X4000 波 特 / 秒 X15 比特 / 波 特 王 13. 4Mbps。 
。 40 。 


实际 中 的 下 行 速率 一 般 低 于 8Mbps, 原 因 是 有 些 用 户 线路 上 的 部 分 子 信道 信 品 比 太 差 ,不 
能 使 用 。 

如 图 2.9 所 示 ,xDSL 上 网 的 第 一 步 是 先 实测 线路 的 通信 质量 ,根据 每 个 子 信道 的 信 噪 比 
给 它们 分 配 不 同 的 bit baud 的 QAM 调制 方案 。 让 信 噪 比 高 的 子 信道 中 每 波 特 调制 传输 的 比 
特 数 较 多 ,让 信 噪 比 差 的 子 信道 中 每 波 特 调制 传输 的 比特 数 较 少 ,甚至 为 0 比特 。 多 个 子 信道 
分 别 调制 后 并 行 传输 ,这 样 就 可 以 在 双 绞 线 上 获得 比 Modem 更 高 的 数据 传输 速率 。 

(3) 用 户 端的 ADSL 调制 解 调 器 。 如 图 2. 10 所 示 ,用 户 端的 本 地 线路 ( 双 绞 线 ) 连 接 到 


一 个 滤波 器 ,将 话音 信号 和 数据 信号 分 离开 ,用 户 端的 ADSL 调制 解 调 器 使 用 DMT 离散 多 
音调 制 技术 对 计算 机 上 网 的 上 行 数据 进行 调制 ,对 来 自 电信 和 局 的 下 行 数据 进行 解 调 。 
电信 公司 让 用 户 员 
[站 分 瑚 要 万 天 
由 由“ 话 首 | | 低 通 直 波 本 地 用 户 线路 [上 低下 Ei SS 
一 | | | 
一 ADSL 是 烛 亿 : 
ISP | 调制解调器 本 a 词 科 名 戎 器 


图 2.10 ADSL 的 网 络 结构 


(4) 电信 公司 端的 DSLAM。 在 电信 公司 的 一 端 安装 的 设备 称 为 “数字 用 户 线 访问 多 
路 复 用 器 ”(digital subscriber line access multiplexer, DSLAM), 它 的 功能 与 用 户 端 的 
ADSL 调制 解 调 器 相同 ,在 上 网 用 户 与 互联 网 服务 提供 商 的 网 络 之 间 转 发 IP 数据 包 或 以 太 
网 数据 帧 (PPPoE)。 

2. HDSL 

高 比特 率 数 字 用 户 线路 (High-bit-rate Digital Subscriber Line, HDSL) 使 用 2 对 双 绞 
线 分 别传 输 上 行 和 下 行 数据 ,可 用 于 替代 T-1 或 E-1 线路 (1. 544 或 2. 048Mbps), 它 采用 
2B1Q 的 线路 编码 ,数据 速率 1. 544Mbps ,传输 距离 通过 中 继 器 后 可 达 3. 86km。HDSL 使 
用 两 对 双 绞 线 进行 全 双 工 的 传输 。 

3. SDSL 

对 称 数字 用 户 线 路 (Symmetrical Digital Subscriber Line, SDSL) 是 使 用 一 对 双 绞 线 的 HDSL 
版 本 。 它 对 通信 的 两 个 方向 各 提供 全 双 工 的 对 称 的 通信 速率 768kbps, 适 用 于 商务 用 户 。 

4. VDSL 

超 高 比特 率 数字 用 户 线路 (Very High-bit-rate Digital Subscriber Line, VDSL) 是 ADSL 的 
一 个 改进 版 , 它 使 用 同 轴 电 缆 、 光 纤 或 近 距 离 的 双 绞 线 进行 传输 ,上 行 数据 速率 25 一 55Mbps， 
下 行 数据 速率 3. 2Mbps。 通 信和 距离 1 一 3km。 表 2. 1 是 上 述 各 DSL 技术 的 对 照 表 。 
表 2.1 各 种 DSL 技术 的 对 照 
上 行 速率 


ADSI | 1.5~6. 1Mbps | 16 一 640kbps DMT 
HDSL | 1.5 一 2.0Mbps | 1.5 一 2.0Mbps 2 | 2B1Q 
SDSI | 768kbps 768kbps 2B1Q 


25~55Mbps 3.2Mbps 


2.1.6 点 对 点 的 数据 通信 协议 PPP 


点 对 点 数据 通信 协议 (Point-to-Point Protocol,PPP) 用 于 通过 数据 通信 系统 的 一 个 专 
用 信道 为 网 络 计算 机 或 以 太 网 之 间 提 供 点 对 点 的 数据 链 路 层 通信 服务 , 它 是 高 级 数据 链 路 
控制 HDLC 协议 的 一 个 版 本 。 例 如 : @ 家 庭 用 户 使 用 Modem 或 ADSL ,通过 点 对 点 的 电 
话 线 连接 将 PC 计算 机 接 入 互联 网 服务 提供 商 (ISP) 的 网 络 。@ 广 泛 使 用 PPPoE 协议 将 以 
太 网 协议 .PPP 协议 与 IP 协议 结合 起 来 ,用 于 在 点 对 点 的 通信 网 上 实现 以 太 局 域 网 与 互联 
网 的 远程 接 入 。@ 在 IP over SDH 中 ,将 IP 包 封装 到 PPP 帧 中 ,通过 SDH 同步 数据 网 进 
行 点 对 点 的 远程 传输 ,构成 广域网 或 城 域 网 的 主干 。 
PPP 提供 以 下 服务 
。 PPP 定义 了 通信 双方 交换 的 数据 帧 的 结构 。 
。 PPP 定义 了 通信 双方 如 何 协 商 建 立 连接 ,以 及 如 何 交换 数据 的 规程 。 
。 PPP 定义 了 网 络 层 的 数据 如 何 被 封装 在 数据 链 路 层 的 帧 中 。 
。 PPP 定义 了 通信 的 双方 如 何 进行 相互 间 的 身份 认证 。 
。 PPP 提供 多 种 网 络 层 的 服务 .可 传输 一 些 网 络 层 的 协议 数据 。 
。 PPP 还 提供 网 络 地 址 的 配置 .用 于 向 另 一 端的 计算 机 传输 临时 的 网 络 地 址 配置 
参数 。 
PPP 不 能 完成 的 功能 : 
。 PPP 不 提供 流量 控制 ,发 送 方 逐个 发 送 数 据 帧 ,并 不 考虑 接收 方 是 否 发 生 了 溢出 。 
。 PPP 的 误 码 控制 很 简单 ,使 用 循环 元 余 码 CRC 字段 来 检测 误 码 。 如 果 收 到 的 帧 出 
错 ,只 是 悄悄 地 将 其 抛弃 ,由 上 层 协议 来 解决 丢 帧 的 问题 。 由 于 误 码 控 制 和 帧 顺序 
的 控制 手段 的 缺失 ,会 导致 收 到 的 数据 包 乱 序 。 
。 PPP 只 提供 点 对 点 的 通信 ,对 于 有 多 点 连接 的 数据 通信 系统 中 ,PPP 不 具备 复杂 的 
地 址 寻 址 策略 。 
1. PPP 的 帧 结构 
PPP 是 一 个 面向 字 节 的 协议 (Byte-oriented Protocol) , 即 传输 的 数据 以 字 节 为 基本 单 
位 。 图 2. 11 是 它 的 帧 结构 格式 。 在 点 对 点 连接 中 ,可 以 用 它 来 传输 IP 包 以太 网 帧 等 各 种 
不 同 协议 的 数据 。 
字 节 1 1 1 1 或 2 可 变 长 2 或 4 1 


标记 | 目的 地 址 ”控制 协议 | 有 效 载荷 | 。 FCS 标记 
发 送 方向 01111110 11111111 00000011 01111110 


图 2.11 点 对 点 协议 的 帧 结构 


(1) 标记 字段 : 长 度 1 字 节 (01111110) ,用 于 标记 一 个 PPP 帧 的 起 点 位 置 。 

(2) 地 址 字段 : 长 度 1 字 节 (11111111), 这 是 全 1 的 广播 地 址 。 因 为 PPP 点 对 点 通信 
中 ,只 有 一 个 发 送 端 和 一 个 接收 端 , 因 此 数据 帧 的 目的 地 址 可 以 使 用 广播 地 址 ,并 且 不 需 传 
送 源 地 址 。 

(3) 控制 字段 : 长 度 1 字 节 (00000011)。 由 于 PPP 不 提供 任何 流量 控制 ,差错 控制 也 
仅 限 于 FCS 中 的 CRC 检 错 。 此 字 节 也 是 无 必要 的 ,可 以 通过 双方 的 协商 将 其 省 略 。 
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(4) 协议 类 型 字段 : 默认 长 度 为 2 字 节 ,但 是 双方 也 可 协商 将 其 改 为 1 字 节 长 。 它 标识 
了 帧 内 有 效 载 荷 数据 段 里 封装 的 数据 协议 类 型 。 例 如 , 帧 内 有 效 载荷 封装 的 是 IP 包 或 其 他 
网 络 层 数据 , 则 此 协议 类 型 字段 的 值 为 0x0021, 链 路 控制 协议 LCP 为 0xC021 ,身份 认证 协 
议 AP 为 0xC023 和 0xC223 ,网 络 控制 协议 NCP 为 0x8021 等 。 注 意 ,符号 0x 表示 它 右边 
的 是 十 六 进 制 数 。 

(5) 有 效 载荷 数据 段 : 默认 最 大 长 度 为 1500 字 节 ,但 是 也 可 通过 双方 的 协商 改变 。 如 
果 此 字段 的 字 节 模式 是 (01111110), 则 说 明 此 字段 中 的 用 户 数据 未 满 1500 字 节 的 最 大 长 
度 ,因此 加 入 了 填充 数据 。 

(6) 帧 检 错 序列 (Frame Check Sequence,FCS) : 它 是 长 度 2 字 节 或 4 字 节 的 标准 的 循 
环 匈 余 检 错 码 (CRC)( 见 附录 D) 。 它 用 于 检测 PPP 帧 传输 中 产生 的 误 码 。 

2. PPP 通信 过 程 中 的 6 个 阶段 

PPP 通信 过 程 分 为 以 下 6 个 阶段 ,可 以 用 如 图 2. 12 所 示 的 状态 转换 图 来 说 明 。 


连接 失败 
信用 阶段 | 一 吉 六 析 淹 | 建立 链 路 连接 | 
停止 载波 Ny | 影 岂 | 
终止 阶段 |- 认证 失败 「 身份 认证 阶段 3 

评 | 

传输 结束 1 | 
数据 通信 阶段 ]- 四 络 层 配置 「 网 络 展 参数 协商 | 


图 2.12 PPP 通信 过 程 的 6 个 阶段 


(1) 停 用 阶段 : 在 PPP 链 路 的 停 用 阶段 ,物理 线路 上 没有 载波 信号 。 

(2) 建立 连接 的 阶段 : 当 链 路 的 结 点 之 一 要 发 起 通信 ,就 要 进入 建立 连接 的 状态 ,通信 
的 双方 进行 本 次 通信 过 程 中 所 需要 使 用 的 技术 参数 及 可 选项 的 协商 。 如 果 协 商 成 功 , 就 进 
和 人 到 身份 认证 阶段 (如 果 需 要 进行 认证 的 话 ), 或 者 直接 进入 网 络 层 的 连接 阶段 。 此 阶段 的 
任务 通过 交换 链 路 控制 协议 包 来 完成 。 有 几 种 不 同 的 链 路 控制 协议 包 。 

(3) 身份 认证 阶段 : 此 阶段 不 是 必须 的 ,通信 的 双方 可 以 决定 是 否 需 要 经 过 身份 认证 
来 建立 PPP 连接 。PPP 通过 拨号 连接 来 进行 通信 ,双方 需要 互相 交换 几 个 认证 包 确 认 身 
份 。 此 过 程 中 有 两 个 协议 可 以 使 用 : 口令 认证 协议 PAP, 用 户 发 送 用 户 名 和 口令 给 认证 系 
统 , 如 果 认 证 系统 确认 身份 成 功 ,就 进入 网 络 层 连接 阶段 。 如 果 身 份 认证 失败 ,就 进入 终止 
阶段 。 另 一 个 是 挑战 握手 认证 协议 CHAP, 通 过 3 次 握手 进行 认证 ,安全 性 比 PAP 好 ,因为 
在 此 协议 中 ,用 户口 令 不 通过 线路 传输 。 

(4) 网 络 层 的 连接 阶段 : 通信 双方 交换 网 络 层 的 协议 包 。PPP 协议 规定 ,双方 在 传输 
网 络 层 的 数据 之 前 ,必须 先 商定 网 络 层 的 使 用 参数 。 原 因 是 PPP 支持 多 种 网 络 层 的 协议 ， 
如 果 通 信 的 一 方 可 运行 多 种 网 络 层 协议 ,接收 方 应 当知 道 接收 到 的 数据 的 协议 类 型 。 

(5) 数据 传输 阶段 : 当 双 方 建立 了 网 络 层 的 连接 后 ,就 可 以 传输 数据 包 了 。 图 2. 13 是 
将 IP 数据 包 封装 在 PPP 帧 中 的 情况 , 若 内 部 封装 了 IP 包 , 则 协议 字段 的 值 是 0x0021 。 

(6) 终止 阶段 : 数据 传输 结束 后 进入 终止 阶段 , 当 任 一 方 提 出 终止 请 求 后 ,双方 要 交换 
几 个 包 来 清除 缓存 空间 ,并 关闭 链 路 ,停止 载波 ,进入 停 用 阶段 。 
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IP 数 据 报 | IP 头 部 用 户 数据 


标记 | 地 址 | 控制 | 协议 “| 有效 载荷 | FCS | 标记 
发 送 方向 01111110 11111111 00000011 0x0021 01111110 


图 2.13 将 耳 包 封装 在 PPP 帧 中 传输 


3. PPP 可 封装 传输 的 协议 类 型 

PPP 可 用 于 为 其 他 通信 协议 建立 远程 点 对 点 的 连接 ,对 通信 的 双方 进行 身份 认证 ,以 
及 传输 网 络 层 的 IP 数据 包 。PPP 可 传输 的 协议 是 : 链 路 控制 协议 (Link Control Protocol， 
LCP) ,两 种 身份 认证 协议 (Authentication Protocol, AP) ,若干 种 网 络 控制 协议 (Network 
Control Protocol,NCP) ,IP 包 等 。PPP 将 这 些 协 议 的 数据 封装 在 自己 的 有 效 载荷 字段 中 传 
输 。 这 些 协议 之 间 的 封装 关系 如 图 2. 14 所 示 。 当 前 互联 网 中 应 用 PPP 协议 实现 的 几 种 远 
程 联网 技术 是 : 


网 络 层 来 自 不 同 网 络 
协议 的 数据 也 人 P 头 部 | 用 户 数据 


数据 链 路 层 。 网 络 控制 。 认证 协议 
协议 NCP AP 链 路 控制 
OSI CP CHAP 协议 LCP 


IPCP PAP LcP | 


PPP 帧 
标记 | 地 址 | 控制 | 协议 ss 载荷 | FCS | 标记 


图 2.14 PPP 帧 的 载荷 可 以 传输 的 协议 数据 类 型 


(1) IP over SDH (POS) 基 于 同步 数据 通信 网 的 IP 包 传 输 ,就 是 先 将 IP 包 封 装 在 PPP 
帧 中 ,再 将 PPP 帧 封装 到 同步 数据 通信 网 SDH 的 载荷 中 进行 远程 点 对 点 传输 ,从 而 构建 光 
纤 主干 系统 上 的 广域网 或 城 域 网 , 详 见 图 2. 26 的 介绍 。 

(2) 家 庭 计算 机 利用 调制 解 调 器 拨号 接 人 ISP 的 网 络 , 如 图 2. 15(a) 所 示 。 


家 庭 用 户 ISP 的 PPP 服 务 器 


modem ”PPP 拨号 连接 modem 
中 寻 一 < 
电话 连接 
(a) ISP 利 用 PPP 拨 号 线路 为 家 庭 用 户 提供 互联 网 接 入 服务 


安装 PPPoE 软 件 DSL modem DSL modem ISP 的 PPPoE 服 务 器 


< PPPoE 虚 连接 前 五 联网 
以 太 网 接口 DSL 连 接 


(b) ISP 为 用 户 提供 PPPoE 互 联网 接 入 ,并 监控 用 户 流量 


以 太 局 域 网 ”Cable/DSL modem cable/DSL modem 1SP 的 PPPoE 服 务 器 
PPPoE 虚 连接 由 > 
已 宁 和 < Wy Su 
(c) 将 以 太 局 域 网 通过 PPPoE 接 入 ISP 网 络 
图 2.15 ISP 利用 PPPoE 为 用 户 提供 宽带 互联 网 接 人 服务 


(3) 在 家 庭 用 户 计 算 机 上 安装 PPPoE 软件 , 先 将 IP 包 封 装 在 PPP 帧 中 (图 2. 13) ,再 
将 PPP 帧 封装 入 以 太 帧 中 ,通过 xDSL 调制 解 调 器 接 入 互联 网 服务 提供 商 ISP 的 网 络 ,如 
图 2.15(b) 所 示 。 

(4) PPPoE(Point to Point Protocol over Ethernet) 广 泛 用 于 家 庭 或 小 型 以 太 网 的 远程 
接 人 互联 网 。 如 图 2. 15(c) 所 示 , Cable/DSL 调制 解 调 器 连接 在 本 地 以 太 网 与 ISP 的 
PPPoE 服务 器 之 间 。 特 点 是 在 本 地 以 太 网 的 计算 机 上 不 需要 安装 任何 附加 软件 。 调 制 解 
调 器 作为 本 地 以 太 网 的 出 口 网 关 , 当 它 收 到 内 网 的 工作 站 发 给 ISP 的 以 太 帧 后 ,取出 其 中 的 
IP 包 ,并 将 它 先 封装 在 PPP 帧 中 ,最 后 再 封 人 外 网 的 以 太 帧 中 ,从 而 构成 一 个 PPPoE 帧 并 
发 送 到 ISP 的 服务 器 。 位 于 ISP 端的 Cable/ DSL 调制 解 调 器 收 到 PPPoE 帧 后 进行 相反 的 
处 理 ,从 中 取出 PPP 包 , 送 到 ISP 的 PPPoE 服务 器 ,然后 取出 其 中 的 IP 包 接 入 互联 网 。 

图 2. 16 为 PPPoE 的 数据 帧 结构 ,以 及 用 Wireshark 捕获 的 网 络 数据 实例 ( 见 第 7 章 ) 。 
从 网 络 捕获 数据 帧 可 看 出 ,封装 过 程 按照 帧 内 协议 头 部 的 顺序 表示 为 eth: pppoes: ppp， 
ip: tcp, 即 以 太 帧 头 部 一 PPPoE 会 话 -PPP 协议 类 型 ->IP 头 部 一 TCP 数据 段 。 对 照 第 3 章 
中 以 太 帧 的 结构 图 可 看 出 ,PPPoE 帧 与 以 太 帧 结构 的 不 同 之 处 是 : 在 以 太 帧 头 部 的 “类 型 ” 
字段 与 "IP 头 部 "字段 之 间 , 增 加 插入 了 “PPPoE 会 话 ” 与 “内 封 IP” 两 个 字段 , 共 8 字 节 。 


ile Edit Yiew Go Capture Analyre Statistics Telephony Iools kelp 
CE | 


Filter ” Expression.. Clesr Apply 
Mo Time Source Destination Protocol | Info 
6 0.167448 116.53.202.36 220.181.28.54 HTTP GET / HTTP/1.1 
7 0.304853 220.181.28.54 116.53.202.36 _TCP hrtp > LiebDevmgmt_DM [ACK] 


困 Frame 8 (1476 bytes on wire, 1476 bytes captured) 
田 Ethernet I1, Src: Siara_02:30:4c (00:30:88:02:30:4c), Dst: Wistron_40:3a:04 (Od 
田 PPP-Over-Ethernet Session 
日 Point-to-Point Protoco] 

Protoco1: IP (0x0021) 
由 Inrcerner prococol, Src: 220.181.28.54 (220.181.28.54), DST: 115.53.202.36 〔115， 
田 Transmission Control Protocol, src Port: http (80), Dst Port: LiebDevMgmt_DM 寺 


(a) 网 络 捕获 的 一 个 PPPoE 数 据 帧 头 部 内 容 实例 


字 节 数 _ 6 6 2 6 2 20 可 变 长 


目的 MAC | 源 MAC | 类 型 PPPoE | PPPoE | 内 封 IP 有 
物理 地 址 | 物理 地 址 | 0x8864 会 话 | 0x0021 | 严 头 部 | 四 载荷 


(b) PPPoE 的 数据 帧 结构 
图 2.16 PPPoE 数据 帧 头 部 内 容 实 例 及 帧 结构 


2.2 身份 认证 协议 PAP 和 CHAP 


面向 连接 的 点 对 点 通信 的 第 一 步 是 在 双方 之 间 先 建立 信道 的 连接 ,并 且 要 进行 通信 双 
方 的 身份 认证 ,包括 用 户 对 电信 运营 商 的 身份 确认 ,以 及 电信 运营 商 对 用 户 的 身份 确认 。 有 
两 个 协议 进行 用 户 的 身份 认证 : 口令 认证 协议 (Password Authentication Protocol,PAP) 和 
挑战 握手 认证 协议 (Challenge Handshake Authentication Protocol,CHAP)。 只 有 身份 认 
证 通过 后 才 允 许 进行 通信 。 
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2.2.1 口令 认证 协议 (PAP) 


PAP 比较 简单 ,身份 认证 的 过 程 只 有 两 个 步骤 : (1) 当 PPP 用 户 要 访问 互联 网 服务 商 
ISP 的 系统 时 ,就 向 系统 发 送 认证 的 标识 ,通常 是 用 户 名 和 口令 。(2)ISP 系统 对 收 到 的 用 
户 名 和 口令 进行 鉴别 ,以 确定 接受 或 拒绝 连接 。 

图 2. 17 展示 了 PAP 认证 所 使 用 的 三 种 包 , 无 论 PPP 帧 传输 哪 一 种 包 , 它 的 协议 类 型 字段 
的 值 为 0xC023。 第 一 种 包 是 : 身份 认证 请 求 (authenticate-request) ,用 户 用 它 向 系统 发 送 用 户 
名 和 口令 ,请求 接 人 系统 。 第 二 种 包 是 : 身份 确认 (authenticate-acknowledgement) ,系统 用 它 
告诉 用 户 , 其 身份 已 被 认可 ,人 允许 用 户 访 问 系 统 。 第 三 种 包 是 : 身份 否定 (authenticate- 
nack) ,系统 用 它 告 诉 用 户 ,该 用 户 名 或 口令 未 通过 认证 ,拒绝 其 访问 系统 。PAP 协议 将 用 
户 名 和 口令 用 ASCII 编码 的 明文 方式 在 链 路 上 传输 ,很 容易 被 截获 ,存在 用 户 名 和 口令 汇 


露 等 安全 问题 。 
PPP 用 户 ISP 系 统 
身份 认证 请 求 


一 ] 


身份 确认 人 允许 登录 
时 间 二 1 时 间 

字 节 1 1 2 1 可 变 长 1 可 变 长 

认证 请 求 | 码 ! | ID | 长 度 | 用 户 名 长 度 | 用 户 名 | 口令 长 度 | 口令 

身份 确认 | 码 2 | ID | 长 度 | 消息 长 度 | 用 户 名 有 

身份 否定 一 身份 认证 协议 包 PAP 

码 3 | ID | 长 度 | 消息 长 度 | 用 户 名 


PPP 帧 | 标记 | 地址 | 控制 | 协议 载荷 (以 及 填充 ) FCS | 标记 


图 2.17 PPP 用 户 的 身份 认证 协议 PAP 


2.2.2 挑战 握手 身份 认证 协议 (CHAP) 


CHAP 采用 3 次 握手 进行 身份 认证 , 它 的 安全 性 比 PAP 好 ,因为 用 户 登 录 系统 时 用 于 
认证 的 口令 不 直接 在 链 路 上 传输 ,对 口令 的 保密 较 好 。 协 议 执 行 过 程 如 下 : 

(1) 当 互 联网 服务 商 ISP 收 到 用 户 的 认证 请 求 后 ,认证 系统 向 用 户 发 送 一 个 挑战 包 
(Challenge Packet) ,其 中 包含 一 个 挑战 值 或 一 个 一 次 性 使 用 的 随机 数 (Nonce) ,长 度 为 几 
企 字 人 < 

(2) 用 户 收 到 认证 系统 发 来 的 挑战 值 后 ,按照 事先 双方 约定 的 算法 ,将 挑战 值 与 自己 的 
口令 进行 计算 并 产生 一 个 结果 。 用 户 将 此 计算 结果 封装 到 一 个 响应 包 中 发 给 ISP 系统 。 

(3) 认证 系统 也 执行 同样 的 过 程 , 它 将 发 给 用 户 的 挑战 值 与 事先 存储 在 内 部 的 用 户口 
令 用 同样 的 算法 进行 计算 ,将 此 计算 结果 与 用 户 发 来 的 响应 包 中 的 数值 进行 比较 。 如 果 两 
者 相同 , 则 用 户 身 份 确认 ,允许 访问 ISP 系统 。 否 则 ,拒绝 该 用 户 访问 。 

认证 系统 每 次 发 送 给 用 户 的 挑战 值 都 不 同 , 这 可 防止 重 放 攻 击 ( 见 第 11 章 )。CHAP 的 优 
点 是 : 即使 人 侵 者 通过 对 链 路 的 数据 捕获 知道 了 系统 发 给 用 户 的 挑战 值 和 用 户 返 回 的 计算 
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结果 ,仍然 无 法 知道 口令 ,因为 采用 的 算法 是 单 向 的 和 不 可 逆 的 ,不 可 能 利用 计算 的 结果 反 
向 推算 出 口令 。 另 外 的 改进 是 : 将 挑战 值 用 图 片 方式 传输 ,用 户 收 到 后 阅读 出 图 片 中 的 数 
字 , 再 将 其 输入 计算 程序 ,这 可 防止 服务 器 发 给 客户 端的 挑战 值 在 传输 途中 被 截获 。 还 可 在 
图 片 形式 的 挑战 值 中 加 入 黑 点 等 干扰 像素 ,改变 挑战 值 图 形 的 大 小 和 倾斜 等 ,也 可 加 大 挑战 
值 被 截获 与 破译 的 难度 。 此 法 在 访问 电子 邮件 和 网 络 银行 等 服务 器 的 认证 中 得 到 广泛 应 
用 。 详 见 第 10 章 信息 加 密 与 身份 认证 。 

图 2.18 为 挑战 握手 身份 认证 协议 (CHAP) 在 PPP 拨号 上 网 系统 中 的 执行 过 程 。 挑 战 
握手 身份 认证 协议 (CHAP) 的 包 被 封装 到 PPP 帧 中 , 帧 内 协议 类 型 字段 的 值 为 0xC223( 十 
六 进 制 数 )。 有 4 种 CHAP 包 : 第 一 种 是 挑战 包 , 系 统 向 用 户 发 送 挑战 值 。 第 二 种 是 响应 
包 , 用 户 向 系统 发 送 计算 结果 。 第 三 种 是 身份 确认 包 , 系 统 告诉 用 户 允 许 访问 系统 。 第 四 种 
是 身份 和 否定 包 ,系统 告诉 用 户 拒 绝 访问 系统 。 


PPP 用 户 1SP 系 统 图 
挑战 包 


响应 包 
身份 确认 或 身份 否定 包 
时 间 


字 节 _1 1 2 1 可 变 长 
挑战 包 [ 码 !1 | ID 长度 | 挑战 值 长 度 | 挑战 值 | 名 字 


响应 包 | 码 2 | ID 长度 | 响应 长 度 | 响应 值 | 名 字 
身份 确认 [ 码 3 | ID [长 度 | ”消息 挑战 握手 身份 认证 
身份 否定 「 码 4 | ID 【长度 | ”消息 协议 包 CHAP 


PPP 帧 [标记 | 地 址 [控制 | 协议 | 载荷 (以 及 填充 ) [FCs [标记 


图 2.18 挑战 握手 身份 认证 协议 (CHAP) 的 执行 过 程 


2.3 AAA 与 RADIUS 协议 原理 与 应 用 


在 互联 网 的 客户 机 /服务 器 应 用 模式 中 ,如 果 需 要 进行 身份 认证 的 客户 量 不 是 太 多 , 认 
证 工作 量 不 大 的 情况 下 ,PAP 协议 和 CHAP 协议 可 直接 在 被 访问 的 应 用 服务 器 端 执 行 。 
但 是 对 于 大 型 网 络 系统 的 访问 控制 ,需要 对 大 量 的 用 户 进行 身份 认证 ,这 样 大 的 工作 量 不 能 
让 路 由 器 和 应 用 服务 器 等 来 承担 ,就 需要 用 专门 的 设备 对 用 户 接 入 网 络 或 应 用 服务 器 的 行 
为 进行 身份 认证 、 授 权 和 计 费 等 工作 。 


2.3.1 对 用 户 的 AAA 认证 .授权 与 计 费 管理 


AAA 是 对 用 户 提 供认 证 (Authentication) .授权 (Authorization) 和 计 费 (Accounting) 

这 3 种 安全 功能 的 简称 。 认 证 用 于 确定 哪些 用 户 可 以 访问 网 络 资源 。 授 权 用 于 确定 已 经 通 

过 认证 的 用 户 可 以 使 用 哪些 服务 。 计 费用 于 对 用 户 访问 网 络 资源 的 情况 进行 记录 和 账户 管 

理 。AAA 一 般 采 用 客户 /服务 器 结构 ,客户 端 运行 于 被 管理 的 资源 侧 , 在 服务 器 上 存放 着 
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用 户 的 信息 ,对 用 户 信息 进行 集中 管理 和 维护 。 

AAA 的 功能 的 实现 可 以 在 网 络 资源 本 地 进行 ,也 可 由 AAA 服务 器 在 远 端 进行 ,有 多 
种 实现 方案 ,而 目前 广泛 使 用 的 是 RADIUS 协议 。AAA 包含 的 功能 如 下 : 

(1) 用 户 身 份 验证 : 用 户 登 录 服 务 器 系统 或 访问 资源 网 络 时 需要 进行 身份 认证 。 用 户 
名 和 口令 的 验证 方式 包括 : 用 户 的 PAP 验证 ,用 户 的 CHAP 验证 ,EXEC 用 户 验证 ,FTP 
用 户 验证 ,拨号 的 PPP 用 户 也 可 通过 主 叫 电话 号 码 验证 。 

(2) 用 户 授权 : 不 同 用 户 访问 应 用 服务 器 或 网 络 资源 时 应 当 授予 各 种 不 同 的 权限 。 对 
一 个 用 户 的 验证 和 授权 应 当 使 用 同样 的 方法 ,可 以 在 应 用 服务 器 或 路 由 器 本 地 进行 ,也 可 以 
使 用 RADIUS 服务 器 在 远 端 进行 。 

(3) 用 户 计 费 和 日 志 : 当 用 户 被 授权 接 人 网 络 后 ,对 用 户 的 接 人 起 止 时 间 、 网 络 数据 流 
量 等 信息 进行 记录 ,并 且 按 照相 应 的 费 率 和 时 段 等 因素 进行 用 户 的 日 志和 计 费 管理 。 


2.3.2 RADIUS 协议 原理 与 应 用 


RADIUS 是 “远程 认证 拨号 用 户 服务 ”的 简称 (Remote Authentication Dial-In User 
Service) ,最 初 由 Livingston Enterprise 公司 开发 ,是 一 种 分 布 式 的 客户 机 /服务 器 系统 ,能 
提供 AAA 功能 。RADIUS 的 实现 比较 简单 , 常 被 用 于 要 求 有 较 高 安全 性 的 对 远程 用 户 访 
问 网 络 资源 的 管理 等 应 用 中 ,可 以 保护 网 络 资源 不 被 未 经 授权 的 用 户 人 入侵。 例如 ,在 电信 系 
统 中 用 于 对 大 数量 的 家 庭 用 户 宽带 互联 网 接 和 人 的 管理 ,远程 用 户 通 过 公共 电话 网 络 访问 单 
位 部 门 局 域 网 内 的 资源 等 领域 。 

例如 ,在 图 2.19 所 示 的 网 络 接 和 人 访问 控制 系统 中 ,用 户 端 是 PC, 利用 Modem 或 ADSL 
通过 拨号 网 络 PSTN 访问 互联 网 服务 商 ISP 的 系统 。 在 此 网 络 配置 中 ,路 由 器 连接 在 
PSTN 电话 网 络 ,资源 网 络 和 RADIUS 服务 器 之 间 。 路 由 器 控制 着 PC 用 户 对 资源 网 络 的 
访问 ,同时 在 路 由 器 上 还 运行 RADIUS 的 客户 端 , 它 负责 将 用 户 信息 发 送 到 指定 的 
RADIUS 服务 器 (数据 采用 加 密 传输 ) ,然后 根据 服务 器 返回 的 信息 对 用 户 的 访问 进行 控制 
(拒绝 或 允许 接 人 资源 网 络 ) 。RADIUS 服务 器 收 到 路 由 器 转 来 的 用 户 连接 请 求 后 ,对 用 户 
进行 身份 认证 ,然后 给 路 由 器 返回 相应 的 控制 信息 。 另 外 ,RADIUS 服务 器 还 可 以 作为 其 
他 AAA 服务 器 的 客户 端 进行 代理 认证 或 计 费 。 


由 由 只 RADIUS 
DO 


请 求 认 i /口令 
| 请 求 认证 用 户 名 /口令 .| 。 认证 请 求 包 aceess request 
认证 接受 包 access accept 
计 费 开始 请 求 
accounting request (Start) 
计 费 开始 响应 包 
A accounting response 
一 - 汀 。 。 计 费 结束 请 求 包 
网 络 资源 accounting request(stop) 
A 计 费 结束 响应 包 
通知 访问 结束 accounting response 


1 1 时 间 1 
图 2.19 RADIUS 协议 的 认证 ,授权 和 计 费 流程 
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RADIUS 服务 器 内 通常 维护 3 个 数据 库 : 第 1 个 数据 库 Users 用 于 存储 用 户 信息 , 例 
如 用 户 名 口令 、 使 用 的 协议 、IP 地 址 配置 等 ;第 2 个 数据 
库 Clients 用 于 存储 RADIUS 客户 端的 信息 ,例如 与 客户 
端 进 行 加密 数 据 通信 的 对 称 密 钥 等 ;第 3 个 数据 库 
Dictionary 存储 的 信息 用 于 解释 RADIUS 协议 中 的 各 种 ieney 
属性 及 其 含义 等 ,如 图 2. 20 所 示 。 图 2.20 RADIUS 服务 器 维护 的 

RADIUS 服务 器 支持 多 种 方法 对 用 户 进行 认证 , 例 三 个 数据 库 
如 ,基于 PPP 的 PAP、CHAP 协议 ,基于 UNIX 的 Login 
等 。 路 由 器 等 网 络 设备 作为 RAIUS 客户 端 代理 RADIUS 服务 器 对 用 户 执 行 认证 等 过 程 。 

RADIUS 客户 端 与 服务 器 之 间 的 数据 传输 是 通过 共享 密 钥 加 密 的 ,路 由 器 将 收 到 的 用 
户 登 录 密 码 等 信息 加 密 后 传 给 服务 器 ,增强 了 安全 性 。 

1. RADIUS 协议 的 工作 过 程 

参看 图 2. 19 中 的 RADIUS 应 用 系统 ,其 基本 工作 过 程 如 下 : 

(1) 用 户 通过 PSTN 等 拨号 网 络 向 路 由 器 (RADIUS 客户 端 ) 发 送 用 户 名 和 口令 。 

(2) RADIUS 客户 端 向 服务 器 发 送 认 证 请 求 包 (Access Request)。 在 采用 PAP 认证 
时 ,其 中 包含 收 到 的 用 户 名 和 用 对 称 密 钥 加 密 后 的 用 户口 令 。 在 采用 CHAP 认证 时 ,其 中 
包含 用 户 名 .CHAP 认证 中 的 各 项 (Challenge、CHAP identifier 和 response) 。 在 主 叫 号 码 
认证 中 ,还 需要 有 主 叫 号 码 。 

(3) RADIUS 服务 器 将 收 到 的 用 户 信息 与 User 数据 库 中 保存 的 用 户 信息 进行 对 比 。 
如 果 二 者 相同 , 则 认证 成 功 , 然 后 将 用 户 的 访问 权限 等 信息 封装 到 认证 响应 包 (Access 
Accept) 中 发 送 给 RADIUS 客户 端 。 如 果 二 者 不 同 则 认证 失败 ,向 客户 端 返回 拒绝 访问 响 
应 包 (Access Reject) 。 

(4) RADIUS 客户 端 收 到 服务 器 发 来 的 认证 结果 后 ,首先 要 判断 包 中 的 签名 是 否 正确 ， 
如 果 不 正确 , 则 认为 收 到 的 是 一 个 非法 的 包 。 如 果 签 名 正确 , 则 执行 服务 器 的 指令 ,允许 或 
拒绝 用 户 访问 网 络 资源 。 如 果 人 允许 用 户 接 人 资源 网 络 ,RADIUS 客户 端 要 向 用 户 的 请 求 进 
行 相应 的 处 理 , 例 如 向 用 户 回 呼 、. 进行 L2TP 隧道 属性 的 设置 等 。 然 后 RADIUS 客户 端 向 
RADIUS 服务 器 发 送 计 费 开始 请 求 包 (Accounting Request) 。 

(5) RADIUS 服务 器 返回 计 费 开始 响应 包 (Accounting Response) , 包 中 的 Status Type 
字段 的 取 值 为 start。 

(6) 用 户 得 到 允许 后 ,通过 路 由 器 (RADIUS 客户 端 ) 访 问 资源 网 络 ,例如 ,用 户 访 问 资 
源 网 络 中 的 Web 服务 器 、 网 络 银行 服务 器 、 电 子 邮件 服务 器 等 。 注 意 , 当 用 户 访问 网 络 银行 
和 电子 邮件 等 服务 器 时 还 需要 通过 这 些 服务 器 各 自 的 认证 。 

(7) 当 用 户 结束 对 资源 网 络 的 访问 后 ,RADIUS 客户 端 向 RADIUS 服务 器 发 送 计 费 停 
止 请 求 包 (Accounting Request) ,其 中 的 Status Type 字段 取 值 为 stop 。 

(8) RADIUS 服务 器 返回 计 费 结束 响应 包 (Accounting Response) 。 

2. RADIUS 的 数据 包 结构 

RADIUS 的 报 文 封装 到 传输 层 的 UDP( 用 户 数据 报 协议 ) 中 传输 ,通过 定时 器 管理 
机 制 、 重 传 机 制 客户/ 服务 器 机 制 ,确保 RADIUS 服务 器 端 和 客户 端 之 间 报 文 的 正确 
收发 。 


Users 


[RAprus Server Clients 
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在 图 2. 21 所 示 的 RADIUS 报 文 结构 中 ,code 字段 用 于 标识 该 报 文 的 类 型 。 在 同一 个 
ES 会 话 过 程 中 ,客户 端 / 服 务 器 之 间 要 进行 多 次 的 交互 ， 
类 型 code | 会 话 ID identifier | 长 度 length 

和 当 客 户 端 发 送 第 一 个 请 求 包 时 ,将 包 中 的 identifier 
i 设置 为 一 个 随机 数 ,此 数值 在 此 会 话 过 程 的 每 一 个 包 
两 2 RADIUS 的 到 六 和 9 ”中 保持 相同 ,服务 器 在 响应 包 中 重复 与 客户 请 求 包 中 
相同 的 identifier 数值 ,在 多 次 重 传 时 也 不 变 , 客 户 端 
收 到 响应 包 后 通过 它 识 别 属 于 哪 一 个 请 求 / 响 应 的 会 话 进程 。 字 段 length 表示 RADIUS 包 
的 字 节 长 度 。 在 authenticator 字段 (长 16 字 节 ) 中 ,分 为 “请 求 认证 ”和 “响应 认证 ”两 种 。 

在 attribute 字段 中 ,传输 用 户 属 性 和 授权 属性 等 信息 。 

传输 层 的 UDP 是 一 种 面向 无 连接 的 协议 ,不 能 保证 报 文 传输 的 不 丢失 和 不 乱 序 。 
RADIUS 服务 器 使 用 两 个 UDP 端口 接受 客户 端的 请 求 : 端口 号 1812 作为 验证 端口 ,端口 
号 1813 作为 计 费 端口 。 也 可 以 使 用 其 他 端口 号 。 

RADIUS 协议 使 用 由 客户 端 首先 发 送 请 求 ,而 服务 器 返回 响应 的 工作 模式 。 如 果 
RADIUS 客户 端 发 送 的 UDP 包 由 于 丢失 或 网 络 拥塞, 等 待 一 段 时 间 还 未 收 到 服务 器 的 响 
应 , 则 重 传 请 求 。 如 果 多 次 重 传 请 求 后 仍然 收 不 到 响应 ,那么 作为 客户 端的 路 由 器 会 将 请 求 
转发 到 备用 的 RADIUS 服务 器 。RADIUS 协议 在 网 络 信息 传输 中 的 安全 保障 措施 是 : 客 
户 / 服 务 器 之 间 的 数据 采用 对 称 密 钥 加 密 传输 ,使 用 MD5 等 算法 进行 报 文 完整 性 验证 , 通 
过 共享 密 钥 对 包 进 行 数字 签名 (原理 见 第 10 章 ) 。 

关于 AAA 和 RADIUS 协议 在 路 由 器 和 服务 器 上 的 配置 方法 可 参看 设备 制造 商 的 技 
术 手 册 。 


2.4 基于 SDH 的 多 业务 传输 平台 MSTP 在 互联 网 中 的 应 用 


同步 数据 通信 体系 (Synchronous Digital Hierarchy,SDH) 是 国际 电信 联盟 通信 标准 局 
ITU-T 制定 的 高 速 数据 通信 系统 标准 ,是 当前 光纤 数据 通信 和 领域 中 的 主干 网 技术 。 它 采用 
同步 的 时 分 多 路 复 用 TDM 技术 进行 宽带 数据 传输 ,系统 内 所 有 设备 的 时 钟 都 锁定 在 同一 
个 时 间 基 准 上 。 当 前 的 重要 应 用 之 一 是 利用 SDH 信道 作为 构建 广 域 互联 网 和 为 计算 机 局 
域 网 远程 互联 提供 传输 服务 。 由 于 SDH 提供 的 是 一 种 物理 层 的 、 基 于 虚 电 路 交换 的 、 固 定 
速率 的 数据 通信 服务 ,其 工作 原理 和 数据 帧 的 结构 特点 与 以 太 网 和 IP 互联 网 有 很 大 的 不 
同 , 因 此 就 需要 采用 各 种 不 同 协议 网 络 的 数据 转换 接口 技术 ,才能 构建 基于 SDH 的 多 业务 
传输 平台 MSTP。 本 节 介 绍 其 基本 概念 。 


2.4.1 SDH 同步 数据 通信 网 简介 


图 2. 22 是 SDH 光纤 同步 通信 网 的 结构 示意 图 。 图 中 的 符号 所 代表 的 设备 说 明 如 下 : 
TM 一 一 终端 复 用 器 , 即 SDH 系统 的 终端 用 户 设备 。 
DXC 一 一 数字 交叉 连接 设备 ,用 于 网 络 各 交叉 节点 上 的 虚 链 路 数据 交换 (类 似 以 太 网 
交换 机 ) 。 
LCN 一 一 本 地 数据 通信 网 ,局 内 网 。 
DLC 一 一 数字 环 路 载波 系统 ,用 于 将 普通 电话 业务 .数字 电 话 、 生 产 调度 数据 接 人 SDH 
。 50 。 
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图 2.22 SDH 光纤 同步 通信 广域网 结构 示意 图 
网 络 。 
REG 一 一 再 生 中 继 器 ,用 于 长 途 通信 干线 的 接力 放大 和 数据 失真 的 恢复 。 


ADM 一 一 分 插 复 用 器 ,用 于 网 络 各 交叉 站 点 的 数据 接 入 与 接 出 ,以 及 不 同 传输 速率 的 
数据 转换 。 

OS 一 一 操作 系统 ,用 于 SDH 网 络 的 管理 。 

PDH 一 一 准 同步 数据 通信 和 网 ,可 为 用 户 提供 2Mbps、34Mbps 和 139Mbps 的 PCM( 脉 
冲 编 码 调制 ) 接 入 服务 。 

SDH 通信 网 的 拓扑 结构 分 为 3 个 层次 : 长 距离 干线 网 \ 汇 接 网 和 用 户 网 。 网 络 拓扑 采 
用 环形 、 树 形 和 星 形 等 混合 结构 ,具有 很 高 的 可 靠 性 和 容 灾 能 力 。 表 2. 2 是 SDH 网 常用 的 
4 个 传输 速率 等 级 。 


表 2.2 SDH 通信 网 的 4 个 速率 等 级 


SDH 速率 等 级 
STML-1 


标 称 比特 率 (Mbps) SDH 速率 等 级 


STM-16 


标 称 比特 率 (Mbps) 


2488. 320 


STM-4 STM-64 9953. 280 
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1. SDH 同步 数据 通信 网 的 特点 

SDH 数据 通信 网 的 优点 体现 在 其 数据 帧 结构 的 巧妙 设计 ,以 及 光纤 网 络 结构 设计 的 组 
合 之 上 。 

(1) SDH 网 络 由 4 类 网 络 单元 设备 (TM、ADM、DXC、REG) 连 接 组 成 ,是 可 以 在 光纤 、 
微波 、 卫 星 等 传输 信道 上 进行 同步 数据 传输 、 复 用 和 交叉 连接 的 网 络 。 可 作为 国家 、 省 和 城 
市 范围 的 数据 通信 和 高速 主干 网 。SDH 系统 采用 虚 电 路 交换 的 TDM 时 分 多 路 复 用 方式 通 
信 , 对 用 户 的 业务 数据 传输 延迟 很 小 ,适用 于 高 可 靠 的 固定 速率 的 实时 性 业务 传输 。 

(2) 有 世界 统一 规范 的 光 网 络 节点 接口 ,可 为 各 种 不 同 协议 类 型 的 用 户 数据 提供 传输 
服务 。 

(3) 灵活 的 数据 分 插 复 用 功能 。 如 图 2. 23 所 示 ,SDH 系统 的 各 种 不 同 速率 等 级 的 码 
流 的 帧 结构 是 相同 的 。 在 帧 结构 中 的 管理 单元 指针 (Administration Unit Pointer， 
AU-PTR) ,用 于 标识 各 支 路 数据 在 帧 的 净 负 荷 区 内 的 安排 位 置 ,各 支 路 信号 在 帧 内 的 位 置 
是 明确 可 查 的 ,因此 可 以 直接 从 STM-N 的 主干 数据 流 中 灵活 地 取出 或 加 入 支 路 信号 。 换 
言 之 ,由 于 各 支 路 通道 是 用 户 租 用 的 ,因此 在 主干 网 数据 流 中 对 每 个 固定 用 户 数 据 的 接 入 / 
接 出 管理 十 分 容易 ,简化 了 网 络 结构 和 用 户 业 务 管理 工作 。 


每 帧 周期 118000 秒 =125hs 


| | 9x270xx 字 节 | 
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1 1 列 
图 2.23 SDH 系统 中 速率 为 STM-N 的 数据 帧 结构 


(4) 强大 的 网 络 内 部 维护 管理 能 力 。 如 图 2. 23 所 示 , 在 SDH 的 帧 结构 中 安排 了 功能 
丰富 的 开销 字 节 用 于 网 络 内 部 管理 ,数据 帧 中 用 于 管理 的 开销 分 为 RSOH 和 MSOH 两 大 
部 分 : 

再 生 段 开销 (Regeneration Section Overhead,RSOH)。 如 图 2.22 所 示 ,再 生 段 是 指 由 
再 生 中 继 器 REG 所 连接 的 一 个 光纤 传输 网 段 。SDH 帧 中 的 RSOH 数据 用 于 一 个 光纤 链 
路 再 生 段 内 的 监控 和 维护 管理 ,功能 包含 : 再 生 段 的 接 入 点 识别 符 、 再 生 段 的 误 码 监视 、 再 
生 段 内 部 的 数据 /话音 公务 通信 等 。 

复 用 段 开销 (Multiplex Section Overhead,MSOH) 。 复 用 段 是 指 两 个 或 多 个 分 搬 复 用 
器 ADM 之 间 的 光纤 通信 网 段 ,一 个 复 用 段 可 由 一 个 或 多 个 再 生 段 串 接 构成 。SDH 帧 中 的 
MSOH 数据 用 于 复 用 段 内 的 监控 和 维护 管理 , 它 的 信息 在 复 用 段 的 始 端 通过 TM 或 ADM 
设备 加 入 到 帧 中 ,并 且 透 明 地 不 加 任何 处 理 地 通过 再 生 段 中 继 设备 REG 的 传输 。 传 到 了 
复 用 段 末 端 再 通过 TM 或 ADM 设备 取出 并 进行 处 理 。 其 功能 包含 : 复 用 段 内 的 误 码 监 
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测 ,光纤 线路 断路 后 能 自动 进行 链 路 的 快速 保护 倒 换 , 复 用 段 远 端 缺陷 指示 , 复 用 段 内 部 的 
运行 .管理 和 维护 信息 传输 ,同步 状态 信息 , 复 用 段 远 端 差错 指示 , 复 用 段 内 部 公务 /话音 
通信 。 

(5) 强大 的 网 络 容 灾 自 愈 功能 。SDH 数据 通信 网 具有 智能 检测 的 内 部 网 管 系统 和 网 
络 动态 配置 管理 功能 ,使 网 络 容易 实现 容 灾 自 傅 , 当 设 备 和 光纤 链 路 发 生 故 障 时 ,无 须 人 为 
干预 ,就 能 在 极 短 的 时 间 内 迅速 启用 备份 光纤 或 路 由 策略 恢复 通信 ,从 而 提高 网 络 的 可 靠 性 
和 生存 性 。 

2. SDH 同步 数据 通信 网 的 不 足 

(1) 传输 数据 中 净 负 荷 所 占 的 比例 较 低 。 如 图 2. 23 所 示 , 由 于 SDH 的 帧 结构 中 安排 
了 较 多 的 数据 用 于 网 络 的 维护 监测 管理 ,因此 数据 流量 中 用 于 传输 用 户 数据 的 净 负 荷 的 利 
用 率 较 低 。 例 如 SDH 网 络 的 STM-1 链 路 的 传输 速率 是 155. 520Mbps, 其 中 净 负 荷 用 户 数 
据 仅 占 总 流量 的 66%。 

(2) 设备 的 复杂 性 增加 。 由 于 SDH 帧 结构 中 采用 了 先进 的 管理 单元 指针 AU-PTR , 提 
高 了 对 各 支 路 用 户 数据 的 管理 能 力 , 但 是 增加 了 设备 的 复杂 性 。 

(3) SDH 网 管 系统 的 信息 安全 保护 要 求 较 高 。SDH 网 管 系统 大 规模 地 采用 软件 控制 ， 
以 及 将 网 管 业 务 量 集 中 在 少数 几 个 高 速率 链 路 和 交叉 连接 点 上 ,通过 软件 几乎 可 以 控制 网 
络 中 的 所 有 交叉 连接 设备 和 复 用 设备 ,从 而 使 网 络 层 上 人 为 的 错误 .软件 故障 .计算 机 病毒 
对 网 管 系统 的 入 侵 与 攻击 等 ,都 可 能 造成 网 络 的 重大 故障 ,甚至 全 网 络 的 瘫痪 。 

(4) SDH 不 宜 直接 传输 流量 动态 变化 很 大 的 以 太 网 和 IP 数据 , 需 用 下 述 补 充 技术 进 
行 适 配 。 


2.4.2 基于 SDH 的 多 业务 传输 平台 MSTP 的 广域网 接口 技术 


1. 用 SDH 直接 传输 计算 机 网 络 数 据 需 解决 的 问题 

SDH 网 络 的 技术 规范 是 针对 传输 以 64kbps 为 基本 速率 的 PCM (Pulse Coding 
Modulation) 话 音 而 制定 的 , 它 为 用 户 提供 的 是 面向 连接 的 ,固定 信道 速率 的 、 基 于 虚 电 路 交 
换 的 通信 服务 。 通 俗 地 说 ,SDH 的 设计 目标 是 作为 一 个 电话 通信 主干 网 络 。( 注 : 话音 的 
频率 范围 是 300 一 4000Hz, 根 据 赖 奈 斯 特 取样 定理 ,每 秒 钟 对 模拟 话音 信号 进行 8000 次 取 
样 ,每 个 取样 值 的 幅度 量化 后 用 8bit 表示 ,因此 一 路 PCM 数字 话音 的 速率 是 64kbps。) 所 
以 , 表 2.2 中 SDH 系统 的 4 个 标准 速率 等 级 STM-N 都 是 64kbps 的 整数 倍 , 图 2. 23 中 的 
SDH 数据 帧 的 周期 都 固定 为 PCM 话 路 的 取样 周期 : 1/8000s 二 125ps, 而 且 所 有 SDH 数据 
帧 都 首尾 相 接地 连 成 一 条 永 不 停息 的 和 固定 速率 的 数据 流 。 

但 是 随 着 IP 互联 网 应 用 的 高 速 发 展 ,数据 通信 市 场 上 的 PCM 电话 业务 量 逐 渐 减 少 ， 
而 越 来 越 多 的 市 场 需 求 是 要 利用 SDH 系统 的 高 速率 .高 可 靠 .长 距离 、 延 时 短 等 优点 ,为 计 
算 机 网 络 之 间 提 供 远程 联网 服务 ,或 者 直接 对 IP 数据 包 提 供 远 程 传输 服务 。 但 是 计算 机 网 
络 和 IP 互联 网 的 数据 包 特 点 与 SDH 的 传输 性 质 有 很 大 的 不 同 , 主 要 差异 体现 在 以 下 几 个 
方面 : 

(1) 对 数据 传输 信道 的 使 用 方式 不 同 : 以 太 网 采用 的 是 无 连接 的 数据 帧 广播 或 二 层 交 
换 传输 方式 ,每 台 以 太 网 计算 机 用 随机 争 用 的 方式 发 送 以 太 帧 占用 公共 传输 信道 ,不 发 送 者 
基本 不 占用 信道 ,因此 网 络 线路 利用 率 很 高 。 而 SDH 提供 的 是 面向 连接 的 点 对 点 的 固定 
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流量 的 高 速 数据 传输 服务 .主干 信道 内 包含 的 各 支 路 信道 是 出 租 给 固定 用 户 的 。 假 设 有 一 
个 部 门 租用 了 一 个 2Mbps 的 传输 信道 用 于 两 个 以 太 局 域 网 之 间 的 远程 互联 ,那么 无 论 有 无 
数据 传输 (例如 下 班 时 间 和 节假日 等 ) ,此 信道 是 被 用 户 租用 独占 的 ,其 他 用 户 不 能 使 用 ,从 
而 造成 信道 利用 率 低 、 信 道 租 金晶 贵 等 。 

(2) 数据 帧 的 结构 和 长 度 不 同 : 以 太 帧 的 长 度 是 在 64 一 1518B 之 间 动 态 变化 的 ,因此 
以 太 网 的 网 络 数据 流量 的 动态 变化 范围 很 大 ( 见 第 3 章 的 介绍 和 图 2. 24(a))。 另 外 ,IP 数 
据 包 的 长 度 在 20 一 65 536B 之 间 动 态 变化 ( 见 第 4 章 的 介绍 )。 而 SDH 帧 的 长 度 是 固定 不 
变 的 ,STM-N 信道 中 每 帧 的 净 负 荷 长 度 固定 为 261X NX9B, 如 图 2. 23 所 示 。 因 此 用 固定 
载荷 容量 的 SDH 数据 传输 信道 来 传输 以 太 帧 或 IP 包 , 需 要 解决 流量 动态 适 配 的 问题 。 

图 2.24(a) 为 一 台 以 太 网 计算 机 的 数据 流量 随机 动态 变化 特征 曲线 。 图 2. 24(b) 为 某 
校园 以 太 网 通过 SDH 的 100Mbps 固定 速率 租用 信道 接 入 互联 网 的 流量 变化 特征 ,从 图 中 
可 看 出 , 当 以 太 网 流量 超过 100Mbps 门限 后 被 限 流 , 此 时 将 超 流量 的 数据 包 丢 弃 , 而 在 夜间 
网 络 流量 处 于 低谷 时 ,传输 能 力 被 闲置 。 
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(b) SDH 信道 的 固定 流量 限 幅 
图 2.24 以 太 网 流量 特征 以 及 在 公 网 出 口 丢 弃 超 流量 门限 的 全 包 


(3) 数据 帧 的 寻 址 方式 不 同 : 以 太 网 帧 的 寻 址 方式 是 将 目的 和 源 MAC 地 址 封装 在 以 
太 帧 的 头 部 ,每 个 以 太 帧 独立 地 广播 发 送 , 以 太 网 交换 机 根据 帧 中 目的 MAC 地 址 进行 转 
发 ,而 接收 方 根据 收 到 帧 中 的 目的 MAC 地 址 与 自己 的 MAC 地 址 是 否 匹配 ,来 判定 对 该 帧 
的 取舍 。IP 包 的 寻 址 方式 也 是 将 源 与 日 的 IP 地址 封装 在 IP 包头 部 ,路 由 器 根据 IP 地 址 进 
行 转发 ,接收 端 根据 目的 IP 地 址 进行 接收 。 而 SDH 系统 是 采用 “ 低 阶 通道 接 入 点 识别 符 ” 
和 “高 阶 通 道 接 入 点 标识 符 ” 在 各 分 插 复 用 器 或 终端 复 用 器 之 间 提 供 点 对 点 的 固定 速率 信道 
传输 。 

(4) 数据 传输 信道 的 标 称 速率 不 同 : 以 太 网 帧 的 标 称 速率 为 10Mbps、100Mbps、 
1000Mbps、10Gbps 等 ,而 SDH 的 标 称 传输 速率 为 表 2. 2 所 示 的 : 155Mbps、622Mbps、 
2.488Gbps、9.953Gbps 等 。 
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用 SDH 网 络 来 封装 传输 以 太 帧 和 IP 包 以 构建 广 域 互联 网 ,就 需要 解决 上 述 这 些 差异 
问题 。 

2. 用 SDH 实现 宽带 IP 城 域 网 的 技术 

SDH 作为 一 个 高 性 能 的 同步 数据 通信 网 ,可 作为 构建 互联 网 中 的 广域网 和 城 域 网 的 底 
层 传输 平台 。 以 SDH 为 主干 的 城 域 网 分 为 核心 层 、 汇 聚 层 和 接 入 层 , 如 图 2. 25 所 示 。@D 核 
心 层 主要 完成 城 域 网 内 部 信息 的 高 速 传输 与 交换 ,常用 SDH 的 光纤 主干 速率 有 : STM-16 
的 2488. 320Mbps,STM-64 的 9953. 280Mbps 等 。@ 汇 聚 层 主 要 完成 信息 的 汇聚 和 分 发 任 
务 ,实现 用 户 网 络 的 接 人 管理 ,常用 技术 有 : GE 千 兆 以 太 网 .EPON 基于 无 源 光纤 网 络 的 千 
兆 以 太 网 等 。@ 接 人 层 负 责 将 各 种 不 同 协议 的 用 户 数据 通过 汇 接 层 转换 后 封装 到 核心 层 
SDH 帧 的 载荷 区 ,然后 汇 接 入 SDH 主干 网 ,用 户 接 人 网 的 数据 类 型 有 : xDSL、LAN 以 太 
局 域 网 .HFC 光纤 同 轴 电 缆 混 合 网 .GE 千 兆 以 太 帧 .DDN 拨号 数据 专线 接 人 等 ,要 根据 不 
同 用 户 的 数据 类 型 采用 相应 的 协议 数据 转换 接口 设备 。 


核心 层 
DWDM SDH 
STM-64 10Gbps 
STM-16 2.5Gbps 


HFC 有 线 
电视 网 


ADSL 
EDSL 
VDSL 


汇聚 层 
GEOS，10GE，EPON 


PPPoE 


图 2.25 宽带 IP 城 域 网 技术 分 类 图 


构建 城 域 网 的 其 他 技术 还 有 : IP over ATM ,IP over SDH (POS),IP over WDM 
(POW) ,十 千 兆 以 太 网 (10GE) ,基于 无 源 光 网 络 的 以 太 网 EPON ,多 业务 传输 平台 MSTP 
等 。 以 下 是 几 种 接 入 层 技术 的 简介 。 

(1) IP over SDH 构建 的 光 互 联网 。IP over SDH 也 称 为 POS , 它 是 通过 SDH 提供 的 
点 对 点 的 高 速 传输 通道 来 传输 IP 包 , 使 IP 包 在 物理 信道 上 的 传输 速率 提高 到 Gbps 数量 
级 。 此 技术 涉及 如 何 将 IP 包 封装 到 SDH 帧 中 ,以 及 IP 高 速 路 由 器 的 实现 等 两 个 问题 。 

参看 图 2. 26 ,IP over SDH 的 数据 传输 过 程 是 : 发 送 端 (TM 或 ADM) 先 将 IP 包 封 装 
到 PPP 点 对 点 协议 帧 中 ,然后 再 将 PPP 帧 封装 到 SDH 帧 的 净 负 荷 区 ,从 SDH 分 插 复 用 器 
ADM 进入 信道 , 传 到 接收 端的 分 插 复 用 器 后 从 SDH 帧 中 取出 PPP 帧 ,再 取出 IP 包 送 入 用 
户 端的 互联 网 路 由 器 。 如 果 IP 包 的 长 度 超出 了 PPP 帧 允许 的 最 大 长 度 1500 字 节 ,就 要 将 
IP 包 分 段 , 见 第 4 章 。IP over SDH 的 另 一 个 相关 技术 是 在 接 人 层 上 的 Gbps 速率 的 IP 交 
换 路 由 器 的 实现 ,目前 已 有 成 熟 的 产品 。 

IP over SDH 的 不 足 是 : 仅 对 IP 业务 提供 良好 的 支持 ,不 适 于 多 业务 平台 ,可 扩展 性 不 
强 , 不 能 构建 VPN 虚拟 专 网 。 不 能 提供 较 好 的 服务 质量 保证 QoS。 从 图 2. 26 可 见 , 为 了 
满足 封装 IP 包 的 动态 最 大 长 度 而 预 留 的 载荷 空间 ,往往 被 空 载 数据 0 填充 ,造成 信道 利用 
率 不 高 。 但 是 近年 来 高 性 能 的 线 速 路 由 器 的 吞吐 量 有 了 很 大 提高 ,转发 IP 包 的 延 时 降低 到 
几 十 微 秒 , 该 技术 与 多 协议 标记 交换 MPLS 结合 .其 性 能 有 了 很 大 提高 。 
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和 FCS 标志 
信息 1632 | 01111110 | 帧 内 填充 


标志 地 址 控制 协议 
o1111110 11111111 |o0000011 
(0x7E) | (OxFF) | (0x03) |16 比 特 | 严 数 据 报 | 比特 | (0x7E) | 或 下 一 帧 


PPP-HDLC 帧 
~~~、 STML] 顶 2 
,分 段 和 ， 的 | PPPHDLC PDU EE 
伐 四 开销 |1 xo | 空 载 空 徐 | 空 载 ] .… 2 
了 STM-1 净 荷 260x9 字 节 
病 270 字 节 


图 2.26 IPover SDH 的 数据 封装 传输 过 程 


(2) 基于 SDH 的 吉 比 特 以 太 网 技术 (G bit Ethernet over SDH,GEOS) 。GEOS 方案 
将 以 太 网 的 二 层 交 换 灵 活性 和 信道 资源 利用 率 高 的 优势 ,与 现 有 SDH 光 网 络 的 大 容量 ,高 
带宽 和 低 传输 延迟 相 结合 ,从 而 得 到 一 种 高 速 、 经 济 的 以 太 网 的 远程 联网 方案 。 

GEOS 的 数据 封装 过 程 : 先 将 IP 包 封 装 在 以 太 帧 中 ,再 将 以 太 帧 封装 到 SDH 帧 的 净 
负荷 区 。 只 需要 在 SDH 的 分 插 复 用 器 ADM 上 增加 以 太 网 接口 或 以 太 网 交换 机 ,就 可 将 以 
太 帧 映射 到 SDH 帧 中 ,实现 较 简 单 。 到 达 目 的 端的 ADM 分 插 复 用 器 后 取出 以 太 帧 , 即 可 
送 入 目的 端的 以 太 网 路 由 器 。 这 样 就 实现 了 两 个 以 太 网 之 间 的 远程 互联 ,如 图 2. 27 所 示 。 


以 太 网 接口 以 太 网 接口 
路 由 器 一 一 ADM SDH 网 ADM 路 由 器 


LAN LAN 
吕 本 
LAN 以 太 网 接口 以 太 网 接口 LAN 
IPv4/IPv6 IPv4/IPv6 IPv4/IPv6 
LLC LLC L1G LLC 
MAC “上 ~- 一 MAC |_MAC 上 ~- MAC 
了 LAPS 
SDH 
ADM- 分 插 复 用 器 LAPS- 链 路 接 入 规程 -SDH MAC- 媒 介 接 入 控制 


图 2.27 Ethernet over SDH 网 络 示 意图 


与 IP over SDH 相 比 ,Ethernet over SDH 的 优点 : 提高 了 传输 信道 的 带宽 利用 率 ,并 
具有 带宽 优化 特性 ,经 济 性 能 指标 较 高 。 但 是 这 种 方法 在 保障 以 太 网 VLAN 的 可 扩展 性 和 
QoS 方面 有 些 不 足 。 

3. 基于 SDH 的 多 业务 传输 平台 MSTP 提供 的 网 络 接口 

多 业务 传输 平台 MSTP 是 为 了 在 SDH 网 上 支持 TDM、ATM、 以 太 网 等 业务 的 远程 接 
入 处理 和 传送 功能 、 并 能 提供 统一 网 管 的 接 入 技术 ., 它 的 功能 实现 是 建立 在 图 2. 22 所 示 的 
SDH 系统 的 分 插 复 用 器 ADM 上 。 图 2.28 是 MSTP 的 数据 处 理 过 程 和 接口 类 型 示意 图 。 
它 是 在 SDH 系统 的 分 插 复 用 器 ADM 的 基础 上 加 入 了 新 技术 的 功能 扩展 ,实现 了 对 外 部 系 
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统 提供 多 种 业务 数据 的 传输 接口 。 

基于 SDH 的 多 业务 传输 平台 MSTP 的 优点 是 : 

@ 保持 了 SDH 的 上 述 所 有 优点 ,而 克服 了 SDH 的 不 足 。 

@ 提供 集成 的 数字 交叉 连接 功能 。 

@ 具有 动态 带宽 分 配 功能 和 高 效 链 路 建立 能 力 。 

@ 支持 多 种 以 太 网 业务 类 型 ,可 方便 地 实现 虚拟 专 网 (VPN) .虚拟 局 域 网 (VLAN) 等 
的 建立 。 

@ 支持 光纤 链 路 的 波 分 多 路 复 用 (WDM) 扩 展 。 

@ 提供 综合 网 管 能 力 。 由 于 MSTP 管理 是 面向 整个 网 络 的 ,其 业务 配置 .性 能 告警 监 
控 也 都 是 基于 向 用 户 提供 的 网 络 业 务 ,避免 了 传统 的 SDH 系统 需要 逐个 网 元 进行 业务 设 
置 和 操作 ,从 而 能 够 快速 地 向 用 户 开通 业务 以 及 端 到 端的 数据 传输 .告警 监控 和 故障 定位 等 
功能 。 

由 于 多 业务 传输 平台 (MSTP) 解 决 了 SDH 的 不 足 而 保留 了 其 优点 ,因此 在 计算 机 网 络 
的 广域网 互联 和 城 域 网 建设 中 得 到 大 量 应 用 。MSTP 的 技术 仍 在 不 断 地 发 展 和 完善 中 。 
在 网 络 的 规划 建设 中 ,应当 概念 性 地 了 解 MSTP 所 能 提供 的 各 种 接口 功能 ,以 便 根据 计算 
机 网 络 的 联网 需要 作出 技术 方案 的 选择 。 以 下 是 一 些 简要 介绍 。 

在 图 2. 22 的 SDH 光纤 同步 通信 网 结构 示意 图 中 ,分 插 复 用 器 (ADM) 的 功能 是 在 
SDH 网 络 的 各 节点 上 进行 支 路 数据 的 插入 和 取出 , 即 通常 所 说 的 上 、 下 话 路 的 数据 传输 功 
能 ,因此 ADM 可 用 于 SDH 网 中 点 对 点 的 传输 上 ,也 可 用 于 环形 网 和 链 状 网 的 传输 上 。 
ADM 的 功能 模块 相当 于 图 2. 28 的 右 半 部 分 , 它 可 执行 STM-N 与 STM-M 的 不 同 速率 光 
纤 链 路 的 对 接 , 处 理 SDH 帧 中 的 再 生 段 开销 (RSOH)、 复 用 段 开销 (MSOH)、 交 又 连接 、 虚 
容器 (VC) 映 射 和 异步 数据 网 (PDH) 的 数据 转换 等 。 

图 2. 28 基于 SDH 的 多 业务 传输 平台 中 ,在 原 ADM 功能 的 基础 上 增加 的 新 技术 有 : 

Q@ 多 协议 标签 交换 技术 (Multi-protocol Label Switching, MPLS)。 

@ 通用 成 帧 规程 (Generic Framing Procedure,GFP) 。 

@ 弹性 分 组 环 (Resilient Packet Ring,RPR) ,等 等 。 因 此 将 图 2. 22 的 SDH 系统 图 中 
的 每 个 分 插 复 用 器 的 位 置 蔡 换 成 图 2. 28 的 结构 ,就 构成 了 新 的 基于 SDH 的 MSTP 系统 。 
它 可 向 计算 机 网 络 用 户 提供 的 接口 如 下 : 

(1) PDH 接口 , 即 准 同步 数字 体系 (Plesiochronous Digital Hierarchy, PDH) 这 是 为 了 
兼容 传统 的 PCM 话 路 通信 设备 而 提供 的 固定 速率 的 接口 。PDH 数据 通信 接口 可 为 用 户 
提供 的 信道 速率 是 : 基 群 2.048Mbps. 三 次 群 34.368Mbps 和 四 次 群 139. 264Mbps 的 PCM 
数据 通信 服务 。 

(2) ATM 接口 , 即 异步 传输 模式 (Asynchronous Transfer Mode, ATM) , 它 的 帧 长 固 
定 为 53 字 节 ( 称 为 信 元 cells) 。ATM 的 传输 速率 为 155Mbps 和 622Mbps。 该 技术 已 逐渐 
退出 市 场 。 

(3) 以 太 网 接口 , 它 的 接口 标 称 速率 为 1 0Mbps、100bps、1Gbps、10Gbps。 在 两 个 远程 
以 太 网 之 间 通 过 MSTP 远程 联网 的 数据 处 理 过 程 是 : 先 将 以 太 网 数据 流 经 过 处 理 模块 实 
现 流 控制 .VLAN 处 理 、. 二 层 交 换 、 性 能 统计 ,然后 再 利用 通用 成 帧 规程 GFP、LAPS 或 PPP 
等 协议 封装 ,再 映射 到 SDH 的 虚 容 器 VC 中 ,然后 通过 交叉 连接 .加 入 复 用 段 和 再 生 段 开 
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销 , 汇 接 到 SDH 帧 中 传输 。 在 接收 端 进行 相反 过 程 的 处 理 , 最 后 提供 给 接收 端的 也 是 以 太 
网 接口 。 


2.4.3 王 兆 广 域 以 太 网 在 多 业务 传输 平台 MSTP 上 的 实现 


由 于 以 太 网 的 组 网 灵活 性 ,高 性 价 比 .封装 传输 IP 包 的 性 能 良好 等 原因 ,已 成 为 当前 计 
算 机 局 域 网 的 主流 技术 。 近 年 来 由 于 基于 光纤 网 络 的 SDH 的 MSTP 传输 平台 的 技术 不 断 
完善 和 发 展 , 利 用 MSTP 传输 平台 向 1Gbps 和 10Gbps 的 以 太 网 提供 远程 传输 信道 ,已 成 
为 构建 计算 机 城 域 网 和 省 级 广域网 的 主流 技术 。 特 别 是 基于 无 源 光 网 络 的 以 太 网 
(Ethernet over Passive Optical Network ,EPON) 具 有 极 高 的 性 价 比 和 优良 的 GE 千 兆 以 太 
网 性 能 ,已 应 用 于 传输 半径 小 于 20km 的 计算 机 城 域 网 ,在 双向 有 线 电视 光纤 城 域 网 中 得 到 
广泛 应 用 ( 详 见 第 3 章 ) 。 采 用 接 人 网 技术 的 EPON 与 基于 SDH 的 多 业务 传输 平台 MSTP 
相 结 合 来 构建 计算 机 广域网 ,是 一 种 较 新 的 组 网 方案 。 因 此 以 太 网 的 应 用 不 再 只 限于 局 
域 网 。 

如 图 2. 28 所 示 ,在 MSTP 中 为 了 支持 以 太 网 的 传输 ,引入 了 由 MPLS 多 协议 标签 交换 
和 RPR 弹性 分 组 环 构 成 的 智能 适 配 层 来 处 理 以 太 网 的 QoS 要 求 , 构 成 Ethernet over 
MPLS 较 好 地 传输 音频 和 视频 等 实时 性 的 数据 。 数 据 处 理 过 程 是 : 先 将 以 太 帧 封装 到 
MPLS, 标 记 交 换 路 径 LSP 中 ,根据 附加 的 LSP 路 径 标 签 进行 转发 ,这 样 可 以 很 好 地 解决 
VLAN 的 可 扩展 性 问题 ,从 整体 上 提高 了 MSTP 系统 的 流量 均衡 能 力 。RPR 弹性 分 组 环 
是 一 种 采用 环形 结构 的 网 络 技术 , 环 上 各 节点 共享 链 路 , 即 环 中 各 节点 采用 分 布 式 接 入 方 
式 . 地 位 均等 。 环 路 带宽 按 权 重 公 平地 在 各 节点 分 配 ,支持 不 同 的 业务 类 别 ,实现 高 的 带宽 
利用 率 。 当 光纤 环 路 出 现 故 障 断 开 后 ,快速 分 组 环 的 保护 切换 时 间 小 于 50ms。 采 用 了 这 些 
技术 后 ,基于 SDH 的 MSTP 平 台 并 具有 以 太 网 二 层 交 换 功 能 的 多 业务 传输 节点 具备 以 下 
功能 : 


PDH 
| 一 -| STM-N 
接口 接口 
ey 层 处 理 
接站 |_ ,| ATM | 
层 处 理 
MPLS Vv 交 外 下 
局 a RPR 国志 国人 
MAC 层 BRE 映 连 销 销 
> 人 射 接 
以 太 网 | 三 层 处 理 LABS 处 人 
接口 文才 | 理 理 
Eni 
STMN 再 生 段 复 用 段 | 
接口 开销 处 理 开销 处 理 


图 2.28 在 SDH 的 分 插 复 用 器 ADM 上 提供 的 多 业务 传输 平台 MSTP 接口 
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(1) 传输 链 路 的 带宽 可 灵活 配置 。 

(2) 以 太 网 帧 的 数据 封装 方式 可 采用 PPP、.LAPS 或 GFP。 

(3) 能 够 保证 包括 以 太 网 MAC 帧 ,VLAN 标记 等 在 内 的 以 太 帧 的 完整 透明 传输 。 

(4) 具有 转发 /过 滤 以 太 帧 的 功能 和 帧 中 的 信息 维护 功能 。 

(5) 能 够 识别 符合 IEEE 802. 1Q 规定 的 数据 帧 ,并 根据 VLAN 信息 进行 以 太 帧 的 转 
发 /过 滤 。 

(6) 支持 IEEE 802. 1D 生成 树 协议 STP .多 链 路 的 聚合 和 以 太 网 端口 的 流量 控制 。 

(7) 提供 自学 习 和 静态 配置 两 种 可 选 方式 以 维护 MAC 地 址 表 。 

综 上 所 述 ,在 MSTP 和 EPON 等 技术 的 综合 支持 下 ,以 太 网 技术 已 从 局 域 网 扩展 到 了 
城 域 网 和 广域网 的 应 用 中 。 从 应 用 角度 分 析 , MSTP 传输 平台 可 提供 以 太 网 专线 业务 和 
ADSL 接 人 服务 ,提供 以 太 网 二 层 交 换 功能 和 三 层 交 换 功 能 ,如 图 2. 29 所 示 。 


吉 比 特 IP 路 由 器 / 
以 太 网 交换 机 


OXC+DXCs 


长 距离 互 连 
(OC-48/192, 
GE,lambda) 


城 域 核心 网 


OC-48/192, 


Se NANOC-481192 核心 层 
J 
下 一 代 SDH 
多 业务 接 入 环 (OC-12/48/192) 汇聚 层 
\953 接 入 屋 


ESCON 节 点 接 入 路 由 器 


&» 
光纤 集线器 WDM PON ATM 交换 机 接 入 路 由 器 电话 交换 机 
图 2.29 基于 SDH 的 MSTP 平 台 构建 的 高 速 城 域 网 提供 的 接 入 服务 


2.5 本 章 要 点 


(1) 传统 的 模拟 电话 网 络 目前 已 经 成 为 模拟 信号 和 数字 信和 号 兼 有 的 交换 式 网 络 。 它 由 
3 个 部 分 构成 : 本 地 用 户 线路 、 主 干线 路 和 交换 局 。 有 若干 层次 的 交换 局 ,例如 ,终端 交换 
局 ,中 继 交 换 局 和 区 域 交 换 局 。 

(2) 电信 网 络 在 逻辑 上 可 分 为 控制 信 令 网 络 和 用 户 数据 传输 网 络 。 在 电话 用 户 终端 的 
输入 信道 中 , 信 令 信号 和 数据 信号 使 用 同样 的 线路 。 在 输出 信道 中 ,带宽 的 一 部 分 用 于 传输 
信 令 , 另 一 部 分 用 于 传输 数据 。 电 话 网 络 的 信 令 系统 使 用 的 协议 称 为 七 号 信 令 系统 SS7 。 

(3) 利用 本 地 电话 线路 传输 数据 的 传统 方法 是 使 用 调制 解 调 器 Modem, 它 将 数据 信和 号 
调制 到 音频 载波 上 传输 。 常 用 的 Modem 遵循 V 系列 标准 : V. 32 Modem 的 速率 为 9600bps。 
V. 32 bis Modem 的 速率 为 14 400bps。V. 90 Modem 的 下 行 速率 为 56kbps, 上行 速 率 为 
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33. 6kbps。 

(4) 电信 系统 的 另 一 类 高 速率 数据 业务 是 数据 用 户 线 路 xDSL ,用户 可 以 利用 本 地 电话 
线路 接 人 互联 网 ISP。 技 术 规范 包括 : 不 对 称 数据 用 户 环 路 ADSL, 它 的 下 行 速率 高 于 上 行 
速率 。 高 比特 率 用 户 线路 HDSL 可 用 于 蔡 代 E-1 线路 (2Mbps) 。 对 称 数字 用 户 线路 SDSL 
是 HDSL 在 一 对 普通 电话 双 绞 线 上 应 用 的 一 个 版 本 。 

(5) 调制 解 调 器 使 用 的 数据 链 路 层 协议 是 点 对 点 协议 PPP, 它 是 一 个 面向 字 节 的 协议 ， 
支持 网 络 控制 协议 (NCP) ,用 户 身份 认证 (AP) , 链 路 控制 协议 (LCP) 和 网 络 层 的 IP 包 的 传 
输 服 务 。 

(6) 挑战 握手 身份 认证 协议 (CHAP) 将 用 户口 令 保密 传输 ,安全 性 比 口令 认证 协议 
PAP 好 。 它 们 都 在 PPP 通信 和 邮件 服务 器 访问 等 系统 中 得 到 广泛 应 用 。 认 证 协议 仅 在 通 
信 开 始 的 身份 认证 阶段 使 用 。 

(7) 口令 认证 协议 (PAP) 比 较 简单 ,身份 认证 的 过 程 只 有 两 个 步骤 : @ 当 用 户 要 访问 
互联 网 服务 商 (ISP) 的 系统 或 服务 器 时 ,就 向 其 发 送 认 证 的 标识 ,通常 是 用 户 名 和 口令 。 
@ 系 统 对 用 户 名 和 口令 进行 鉴别 ,以 确定 接受 或 拒绝 连接 。 此 协议 将 用 户 名 和 口令 在 链 路 
上 明文 传输 ,很 容易 被 截获 ,存在 用 户 名 和 口令 泄露 的 安全 问题 。 

(8) 挑战 握手 身份 认证 协议 (CHAP) 采 用 三 次 握手 进行 身份 认证 , 它 的 安全 性 比 PAP 
好 ,口令 是 保密 的 ,不 在 链 路 上 传输 。 即 使 人 侵 者 窃 获 了 计算 结果 ,也 不 可 能 利用 计算 的 结 
果 反 向 算出 口令 。 

(9) 基于 SDH 同步 数据 通信 网 的 多 协议 传输 平台 (MSTP) 是 构建 城 域 网 和 广域网 的 
主流 技术 。 多 协议 标签 交换 MPLS 在 MSTP 中 的 应 用 ,可 使 各 种 网 络 协议 在 同一 个 MPLS 
平台 上 实现 统一 。 

(10) 两 个 远 端 以 太 网 之 间 通 过 MSTP 远程 互联 的 数据 处 理 过 程 是 : 先 将 以 太 网 数据 
流 经 过 处 理 模块 实现 流 控 制 .VLAN 处 理 、 二 层 交 换 、 性 能 统计 ,然后 再 利用 通用 成 帧 规程 
GFP、LAPS 或 PPP 等 协议 封装 ,再 映射 到 SDH 的 虚 容 器 中 ,通过 SDH 传输 。 在 接收 端 进 
行 相 反 的 处 理 。 


习题 与 实践 


1. 电话 通信 网 络 的 3 个 主要 组 成 成 分 是 什么 ? 

2. 电信 系统 使 用 各 种 xDSL 提供 什么 服务 ? 用 ADSL 与 Modem 上 网 的 原理 有 何 
不 同 ? 

3. 假设 电话 线路 的 质量 良好 ,请 计算 使 用 下 列 各 种 技术 下 载 1MB 数据 文件 所 需 的 最 
小 时 间 : 

a. V. 32 调制 解 调 器 b.V. 32bis 调制 解 调 器 c. V.90 调制 解 调 器 

4. 利用 一 台 具 有 拨号 调制 解 调 器 接口 的 计算 机 接 人 电话 系统 ,通过 拨打 当地 电信 局 的 
互联 网 接 入 电话 号 码 上 网 ,利用 Wireshark 捕获 上 网 数据 (参见 第 7 章 ) ,分 析 PPP 的 数据 
帧 结构 , 找 出 图 2. 12 所 示 的 6 个 通信 阶段 的 数据 交换 进程 的 数据 包 ,进行 详细 分 析 , 写 出 实 
验 报告 。 

5. 利用 一 台 ADSL 调制 解 调 器 将 计算 机 通过 宽带 租用 线路 接 人 互联 网 ,利用 
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Wireshark 捕获 身份 认证 阶段 的 数据 包 , 判 断 是 否 是 PPPoE 的 数据 通信 ? 是 否 先 将 IP 包 
封装 入 PPP 帧 中 ,再 将 PPP 帧 封装 入 以 太 帧 中 ? (参看 第 3 章 ) 写 出 实验 报告 。 

6. 访问 你 注册 的 电子 邮件 服务 器 时 ,首先 要 输入 你 的 用 户 名 和 口令 进行 身份 认证 。 判 
断 此 过 程 采 用 的 是 PAP 协议 还 是 CHAP 协议 ? 这 两 种 身份 认证 协议 各 自 的 优 缺 点 是 什 
么 ? 用 Wireshark 软件 将 此 过 程 的 网 络 数据 捕获 下 来 ,能 否 从 网 络 数据 中 获取 你 的 用 户 名 、 
口令 和 邮件 内 容 ? 

7. 在 讨论 调制 解 调 器 的 通信 速率 中 , 常 同时 使 用 比特 率 和 波 特 率 ,它们 之 间 有 何不 同 ? 
试 给 出 一 个 比特 率 与 波 特 率 两 者 相同 的 例子 ,以 及 比特 率 和 波 特 率 两 者 不 同时 的 通信 系统 
的 例子 。 

8. 简 述 AAA 和 RADIUS 协议 的 原理 。 当 你 拨打 电话 时 是 用 什么 进行 身份 认证 的 ? 
电话 怎样 计 费 ? 

9. 你 的 计算 机 有 以 太 网 接口 和 Modem 接口 吗 ? 它们 的 工作 原理 和 用 途 有 何不 同 ? 

10. 简 述 SDH 系统 的 特点 .SDH 城 域 网 的 结构 和 3 个 层 的 功能 。 

11. 你 的 校园 网 是 以 太 网 吗 ? 如 何 利 用 MSTP 将 两 个 校园 网 远程 互联 ,IP 包 是 如 何 封 
装 传输 的 ? 

12. 为 什么 说 以 太 网 的 应 用 领域 已 从 局 域 网 扩展 到 城 域 网 和 广域网 ? 没有 SDH 同步 
数据 通信 系统 的 支持 行 吗 ? (提示 : 由 于 多 种 光纤 通信 新 技术 的 支持 ,以 太 网 技术 的 应 用 不 
再 只 限于 局 域 网 。) 

13. 在 什么 情况 下 对 远程 计算 机 局 域 网 之 间 的 互联 需要 通过 SDH 系统 提供 的 多 业务 
传输 平台 ? 如 果 将 以 太 帧 或 IP 包 直 接 封 装 入 SDH 的 载荷 中 传输 存在 什么 问题 ?这些 问题 
如 何 解决 (提示 : 以 太 帧 和 IP 包 的 长 度 是 随机 动态 变化 的 ,而 SDH 的 载荷 信道 容量 是 预约 
固定 分 配 的 )? 
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第 3 章 以 太 网 家 族 及 其 安全 应 用 


一 般 情况 下 ,局域网 (Local Area Network ,LAN) 指 传输 线 ( 如 5 类 双 绞 线 ) 长 度 不 超过 
100 米 的 本 地 计算 机 网 络 , 如 家 庭 、 楼 宇 等 内 部 计算 机 网 络 ,而 私有 网 络 (Private Network) 
则 指 利用 各 种 长 距离 传输 媒介 (如 光纤 、 卫 星 ,租用 数据 信道 等 ) 将 远 距离 的 多 个 局 域 网 互联 
后 构成 的 专用 网 络 ,例如 : 校园 网 、 企 业 网 .电子 政务 网 .税务 金融 银行 网 等 ( 详 见 第 11 章 关 
于 VPN 虚拟 私有 网 络 的 介绍 )。 从 20 世纪 70 年 代 开始 出 现 了 很 多 不 同 的 局 域 网 技术 , 例 
如 : 以 太 网 (Ethernet) 、 令 牌 环 网 (Token Ring) 、 令 牌 总 线 (Token Bus) ,光纤 分 布 式 数据 接 
口 (FDDI) .异步 传输 模式 ATM 等 。 经 过 了 数 十 年 网 络 应 用 中 的 优胜 劣 汰 ,以 太 网 成 为 当 
前 构建 局 域 网 和 广 域 私 有 网 络 的 重要 技术 。 其 长 盛 不 衰 的 主要 原因 除了 以 太 网 协议 本 身 具 
有 的 先天 优势 外 ,还 在 于 以 太 网 技术 的 与 时 俱 进 \ 不 断 更 新 和 发 展 。 

在 过 去 的 三 十 多 年 里 ,以 太 网 经 历 了 5 代 的 演变 ,但 主要 的 基本 概念 保持 不 变 , 数 据 帧 
结构 基本 不 变 。 它 们 是 标准 以 太 网 (10Mbps)、 快 速 以 太 网 FE(100Mbps) 、. 千 兆 以 太 网 
GE(1Gbps) ,十 千 兆 以 太 网 10GE(10Gbps) ,以 及 基于 无 源 光 纤 网 络 的 以 太 网 (Ethernet 
over Passive Optical Network,EPON) 。 以 太 网 的 不 断 发 展 是 采用 了 新 的 数据 链 路 层 和 物 
理 层 技术 ,来 满足 市 场 不 断 增 长 的 需求 (例如 : 有 线 电视 网 .通信 网 .互联 网 的 三 网 融合 等 ) 。 
本 章 介绍 这 些 以 太 网 家 族 中 的 各 种 衍生 技术 ,还 讨论 与 以 太 网 运行 密切 相关 的 地 址 解析 协 
议 (ARP) 及 其 安全 ,动态 主机 配置 协议 (DHCP) 的 原理 与 安全 。 最 后 介绍 EPON 的 工作 原 
理 及 安全 应 用 、IEEE 802. 11 无 线 局 域 网 等 。 列 举 了 以 太 帧 .ARP 和 DHCP 的 实测 数据 分 
析 ,来 说 明 ARP 欺骗 的 原理 和 危害 ,以 及 以 太 网 中 几 种 常见 的 拒绝 服务 攻击 DoS 的 监测 和 
安全 防护 方法 等 。 


3.1 以 太 网 与 IEEE 802.3 


3.1.1 IEEE 802 局 域 网 标准 


1985 年 ,电气 与 电子 工程 师 协 会 (IEEE) 启 动 了 802 标准 项 目 , 以 建立 一 套 技术 标准 让 
各 不 同 网 络 设备 制造 商 的 产品 之 间 能 够 互联 通信 。802 项 目的 目的 并 不 是 要 取代 互联 网 的 
OSI 开放 系统 互联 模型 ,而 是 要 定义 局 域 网 协议 的 物理 层 和 数据 链 路 层 的 功能 和 标准 。 

后 来 ,IEEE 802 标准 被 美国 国家 标准 局 ANSI 采纳 ,在 1987 年 ,国际 标准 化 组 织 
ISO 也 将 其 采纳 作为 ISO 8802 国际 标准 。 图 3. 1 是 802 标准 与 OSI 模型 的 对 照 关 系 。 
IEEE 802 将 数据 链 路 层 分 为 两 个 子 层 : 逻辑 链 路 控制 子 层 (Logical Link Control,LLC) 和 
媒体 访问 控制 子 层 (Media Access Control, MAC)。IEEE 也 为 不 同 的 局 域 网 协议 建立 了 几 
个 物理 层 的 标准 。 

在 第 1 章 中 讨论 过 数据 链 路 层 , 它 的 功能 是 在 同一 个 网 络 中 的 两 个 相 邻 结 点 (设备 ) 之 
间 进 行 巾 的 传输 、 流 量 控制 和 差错 控制 。 在 IEEE 802 中 ,流量 控制 .差错 控制 和 构建 帧 的 
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上 面 名 层 | 上 面 各 层 
LLC 逻辑 链 路 控制 

数据 链 路 层 以 太 网 | 令 牌 环 | 令 牌 总 
MAC | MAC | 线 MAC 

(传输 媒体 0 传输 媒体 

OSI 或 互联 网 模型 IEEE 标 准 


图 3.1 IEEE 局 域 网 标准 与 OSI 或 互联 网 模型 的 对 照 


功能 由 逻辑 链 路 控制 LLC 子 层 来 完成 。 帧 的 构建 由 LLC 和 MAC 共同 完成 。 

LLC 为 所 有 不 同 底层 技术 的 局 域 网 提供 了 统一 的 数据 链 路 控制 协议 ,因此 LLC 不 同 
于 MAC 媒体 访问 控制 子 层 。 由 于 不 同 物理 层 的 局 域 网 使 用 同样 的 LLC 协议 ,就 使 得 它们 
之 间 可 以 互联 通信 ,如 图 3. 1 所 示 。 

LLC 定义 了 一 个 协议 数据 单元 (Protocol Data Unit,PDU) , 它 的 头 部 包含 了 一 个 用 于 
流量 控制 和 差错 控制 的 控制 字段 ,两 个 其 他 的 头 部 字段 用 于 标识 源 和 目的 主机 的 LLC 的 上 
层 协议 。 这 两 个 字段 称 为 目的 服务 访问 点 (Destination Service Access Point, DSAP) 和 源 
服务 访问 点 (Source Service Access Point,SSAP) 。 在 一 个 典型 的 数据 链 路 控制 协议 (如 高 
级 数据 链 路 控制 (HDLC) 等 ) 中 定义 的 其 他 字段 被 移 到 MAC 子 层 。 换 言 之 ,在 HDLC 里 定 
义 的 一 个 帧 ,被 分 开放 入 LLC 子 层 的 PDU 和 MAC 子 层 的 帧 内 。 对 传输 媒体 的 访问 控制 
包括 : 随机 访问 、 受 控 访 问 , 以 及 信道 多 路 复 用 。IEEE 802 标准 的 MAC 子 层 定 义 了 对 每 
种 局 域 网 的 物理 层 访问 方式 。 例 如 ,以 太 局 域 网 的 媒体 访问 方法 是 CSMAVCD( 载 波 侦 听 
多 路 访问 /冲突 检测 ) , 令 牌 环 网 和 令 牌 总 线 的 媒体 访问 方式 是 令 牌 传递 。 物 理 层 的 传输 
媒体 包括 : 同 轴 电 缆 、 双 绞 线 .光纤 .无线电 信道 等 ,IEEE 为 每 种 局 域 网 定义 了 详细 的 物 


3.1.2 IEEE 802.3 与 标准 以 太 网 


以 太 网 是 20 世纪 70 年 代 早 期 由 Xerox 公司 开发 的 用 于 将 计算 机 工作 站 互联 的 局 域 网 
技术 。 在 20 世纪 80 年 代 早期 ,由 DEC Intel 和 Xerox 合作 制定 了 DIX 以 太 网 标准 ,用 于 
同 轴 电 缆 传输 的 帧 速率 为 10Mbps 的 局 域 网 。 在 此 基础 上 于 1985 年 发 布 了 基于 粗 同 轴 电 
缆 的 IEEE 802. 3 LAN 的 标准 。 以 太 网 和 IEEE 802. 3 标准 的 主要 差别 是 头 部 中 “长 度 / 类 
型 字段 的 定义 ,如 图 3.2 所 示 。IEEE 802. 3 标准 在 短 短 的 几 年 内 就 得 到 修订 和 补充 , 传 
输 线 缆 包 括 细 同 轴 电缆 、 双 绞 线 、 单 模 和 多 模 光 纤 。1995 年 制定 了 100Mbps 的 FE 快速 
以 太 网 标准 ,1998 年 制定 了 1Gbps 的 GE 千 兆 以 太 网 标准 ,后 来 又 制定 了 10Gbps 以 太 网 


标准 。 
字 节 数 : 7 1 6 6 2 46~1500 4 
前 导 符 | 帧 开始 定 界 符 | 目的 物理 地 址 | 源 物理 地 址 | 长度 或 类 型 载荷 数据 和 填充 | CRC 
1 和 0 交替 10101011 区 最 短 64 字 节 ， 最 长 1518 字 节 | 


图 3.2 IEEE 802.3 和 以 太 网 的 数据 帧 结构 
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参见 图 1.17 的 以 太 网 结构 。 早 先 的 802. 3 标准 定义 了 基于 总 线 式 同 轴 电 缆 的 传输 网 
络 ,每 个 终端 的 传输 信号 在 共享 式 的 媒体 上 广播 ,采用 载波 侦 听 多 路 访问 /冲突 检测 
(Carrier Sensing Multiple Access With Collision Detection ,CSMAVCD) 技 术 作 为 媒体 访问 
控制 MAC 协议 。 当 一 个 工作 站 要 发 送 数据 帧 时 ,要 等 待 传输 信道 空闲 时 才能 发 送 。 它 在 
发 送 数据 帧 时 必须 同时 持续 侦 听 线 缆 上 是 否 有 其 他 工作 站 也 发 送 数据 帧 而 产生 冲突 。 如 果 
发 生 了 冲突 ,就 中 止 传输 ,然后 等 待 一 个 随机 时 间 段 后 再 重新 发 送 该 数据 帧 。 如 果 在 两 倍 传 
输 延 迟 的 时 间 内 没有 发 生 冲 突 (数字 信号 经 过 网 络 中 最 长 电缆 传输 的 延迟 时 间 的 两 倍 ) , 那 
么 此 工作 站 知道 它 的 传输 已 经 独占 了 此 信道 ,数据 帧 广播 给 了 所 有 的 工作 站 ,其 他 工作 站 就 
要 等 待 到 线路 空闲 时 才能 发 送 数据 帧 。 由 此 定义 了 最 小 时 间 槽 的 长 度 就 是 两 倍 于 信和 号 在 网 
络 中 最 长 电缆 中 传输 的 延迟 时 间 。 

在 CSMA/CD 系统 里 的 一 个 重要 参数 就 是 此 时 间 槽 , 它 定 义 了 一 个 工作 站 占用 信道 的 
最 短 时 间 ,如 果 一 个 以 太 帧 太 短 ,传输 此 帧 的 信道 占用 时 间 小 于 此 时 间 槽 , 则 发 送 端 检测 不 
到 是 否 发 生 了 碰撞 。 早 先 IEEE 802. 3 设计 的 以 太 网 速率 是 10Mbps, 同 轴 电缆 的 最 大 传输 
距离 为 2500m。 传 输 中 继 器 最 多 可 用 4 个 ,终端 到 终端 的 最 大 传输 延迟 为 51. 2ms。 在 
10Mbps 的 速率 时 ,此 传输 延迟 等 于 64B(512b) 的 发 送 时 间 , 因 此 这 就 是 以 太 网 数据 帧 的 最 
小 长 度 。 如 果 以 太 帧 短 于 64B, 就 要 加 入 0 作为 数据 填充 。 

IEEE 802. 3 标准 规定 主机 在 发 生 了 一 次 冲突 而 中 止 传输 后 ,再 进行 第 次 尝试 重 传 的 
时 间 间 隔 为 0~~2* 一 1 倍 时 间 槽 之 间 , 其 中 二 min(n,10)。 即 冲突 后 的 第 一 次 重 传 的 等 待 
时 间 间 隔 是 1 或 2 倍 时 间 槽 ,第 二 次 重 传 的 等 待 时 间 是 0、1、2 或 3 倍 时 间 权 ,每 次 重 传 的 等 
待 时 间 按 照 2 倍 的 延迟 递增 ,直到 最 大 值 2 倍 时 间 槽 。 冲 突 的 次 数 越 多 , 重 传 等 待 的 时 间 
间隔 越 长 ,就 减 小 了 再 次 发 生 冲 突 的 概率 。 

1. 以 太 网 的 帧 结构 

如 图 3.2 所 示 ,各 种 不 同 速率 的 以 太 帧 的 结构 都 是 相同 的 。 以 太 帧 结构 包含 的 字段 是 ， 
前 导 符 (preamble) , 帧 开始 定 界 符 , 目 的 物理 地 址 , 源 物理 地 址 , 帧 长 度 或 内 部 封装 的 协议 数 
据 单元 PDU 类 型 ,载荷 数据 和 填充 ,循环 兄 余 校 验 码 。 源 主机 将 以 太 帧 广播 发 送 到 传输 线 
上 后 ,接收 端 收 到 帧 后 并 不 向 源 主机 返回 确认 信息 ,确认 功能 必须 由 上 层 执行 。 前 导 符 和 帧 
开始 定 界 符 字 段 属于 物理 层 的 头 部 ,可 用 于 自动 识别 该 帧 的 标 称 速率 。 

(1) 前 导 符 : 长 7B(56b), 由 56 个 1 和 0 的 交替 构成 .用 于 告知 接收 端 有 帧 到 达 , 以 及 
识别 该 帧 的 速率 是 10Mbps、100Mbps 还 是 1Gbps。 接 收 机 的 网 卡 读 取 收 到 帧 的 前 导 符 ,由 
此 判断 该 帧 的 速率 ,然后 网 卡 的 时 钟 自动 与 输入 帧 的 速率 同步 ,从 而 正确 读 取 整 个 数据 帧 。 
因此 各 种 不 同 速 率 的 以 太 帧 可 以 在 同一 个 以 太 网 中 传输 ,相互 兼容 。 接收 端 丢失 此 字段 的 
部 分 不 会 影响 帧 的 完整 接收 。 

(2) 帧 开始 定 界 符 (start frame delimiter,SFD): 长 1B(10101011) ,标识 帧 的 开始 。 告 
诉 接收 端 这 是 最 后 的 时 钟 同步 机 会 。 最 后 2 个 比特 为 11 ,表示 下 一 字段 是 目的 MAC 地址。 

(3) 目的 物理 地 址 Dst(destination address) : 长 6B, 标 识 该 帧 的 接收 端的 MAC 物理 地 
址 。 

(4) 源 物理 地 址 Sre(Source address) : 长 6B, 标 识 发 送 方 的 MAC 物理 地 址 。 

(5) 帧 长 度 或 类 型 字段 : 以 太 网 用 此 字段 标识 帧 内 部 封装 数据 的 上 层 协 议 类 型 ， 
IEEE 802. 3 标准 使 用 此 字段 表示 此 帧 的 字 节 “长 度 ”。 从 图 3. 2 可 知 , 帧 的 最 大 长 度 为 6 十 
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6 十 2 十 1500 十 4 一 1518B, 等 于 十 六 进 制 数 0x0600。 因 此 如 果 收 到 的 帧 中 此 字段 的 值 小 于 
0x0600, 则 表明 此 帧 属于 IEEE 802. 3 帧 。 如 果 收 到 的 帧 中 此 字段 的 值 大 于 0x0600, 则 说 明 
此 帧 属于 以 太 帧 。 目 前 以 太 帧 用 得 较 多 ,可 从 捕获 帧 中 直接 观察 。 

IEEE 802. 3 用 该 字段 表示 “长 度 ”, 单 位 为 字 节 ,数据 帧 的 最 大 长 度 为 1518B, 其 中 包含 
18B 的 固定 头 部 (不 包含 前 导 符 和 帧 开始 定 界 符 字段 ) ,其 数值 小 于 0x0600。 

以 太 帧 用 该 字段 表示 “类 型 ", 其 数值 大 于 0x0600。 类 型 字段 的 值 所 代表 的 上 层 协 议 如 
表 3.1 所 示 。 例 如 , 当 收 到 一 个 以 太 帧 后 ,如 果 读 出 类 型 字段 值 为 0x0800, 这 说 明 此 帧 的 载 
荷 数据 中 封装 的 是 IP 包 , 于 是 接收 端 就 按照 IP 包 的 结构 去 分 析 和 取出 该 帧 携带 的 IP 包 。 
若 收 到 帧 中 的 类 型 字段 为 0x0806 , 则 该 帧 封装 传输 的 上 层 数据 属于 ARP 地 址 解析 协议 , 然 
后 按照 ARP 的 结构 进行 解读 和 提取 信息 。 


表 3.1 以 太 帧 头 部 中 类 型 字段 标识 了 内 部 封装 的 上 层 协 议 类 型 


(6) 载荷 数据 和 填充 : 此 字段 属于 有 效 载荷 ,用 于 封装 传输 上 层 协 议 的 数据 ,长 度 范围 
46 一 1500B。 若 载荷 短 于 46B, 则 填充 0, 用 于 保证 每 个 帧 的 总 长 度 不 小 于 64B( 即 46 十 18 二 
64B) 。 

(7) 循环 宛 余 校 验 码 CCRC): 以 太 网 帧 的 检 错 使 用 CCITT-32 的 循环 兄 余 校 验 码 
(CCRC) ,工作 原理 见 附录 D。CRC 的 检 错 范围 包括 源 和 目的 地 址 字段 ,长度 字 段 .载荷 字段 
和 填充 字段 。 当 网 卡 NIC 收 到 一 个 帧 后 , 它 先 检测 帧 的 长 度 是 否 在 允许 范围 内 ,然后 用 收 
到 的 CRC 对 该 帧 进行 检 错 。 如 果 发 现 错误 ,将 该 帧 丢弃 ,不 传 给 机 内 上 面 的 网 络 层 实体 ,也 
不 向 源 主机 报告 出 错 信息 。 帧 丢失 的 问题 由 上 层 处 理 。 

2. 以 太 网 帧 的 长 度 选 择 

以 太 网 的 帧 长 度 ( 包 含 头 部 .数据 ,填充 和 尾部 ) 最 短 为 64B, 最 长 为 1518B。64B 最 短 帧 
长 限制 是 为 了 保证 CSMA/CD 的 正确 运行 (此 限制 在 交换 式 的 FE、GE 以 太 网 和 EPON 中 
被 弱化 了 ) 。 

以 太 网 帧 的 最 大 长 度 为 1518B, 去 除 固定 长 度 为 18B 的 头 部 后 ,载荷 数据 的 最 大 长 度 为 
1500B。 此 最 大 长 度 限制 的 原因 之 一 是 防止 在 共享 传输 信道 的 网 络 中 , 某 台 主 机 长 时 间 独 
占 信道 ,而 阻碍 其 他 主机 发 送 数据 。 特 别 是 当 载荷 数据 是 音频 和 视频 等 实时 性 数据 时 ,不 允 
许 有 长 时 间 的 延迟 和 等 待 。 

3. 以 太 网 的 MAC 物理 地 址 

以 太 网 的 每 个 工作 站 (PC、 网 络 打 印 机 等 ) 都 安装 有 自己 的 网 络 接口 卡 (network 
interface card,NIC), 它 的 MAC 物理 地 址 长 6B. 用 12 个 十 六 进 制 数 分 段 表 示 ( 每 个 十 六 进 
制 数 代表 4 比特 ) 。 

有 3 类 MAC 物理 地 址 : 单 播 地 址 、 组 播 地 址 .广播 地 址 。 以 太 帧 中 的 源 地 址 必 是 单 播 
地 址 ,因为 数据 帧 只 能 来 自 一 个 工作 站 。 目 的 地 址 可 以 是 单 播 .多 播 或 广播 地 址 。6 字 节 的 
MAC 地 址 可 以 提供 2* 个 全 球 唯一 的 地 址 ,前 3 个 字 节 标识 网 卡 的 制造 商 ,后 3 个 字 节 为 网 
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卡 的 产品 序列 号 ,因此 每 个 制造 商 可 以 有 2# 一 1 一 16 777 215 个 产品 序号 ( 减 去 1 个 由 24 个 
1 构成 的 广播 地 址 )。 例 如 ,Cisco 公司 生产 的 网 卡 MAC 地 址 前 3 个 字 节 的 公司 代码 为 
00:00:0c,3Com 公司 生产 的 网 卡 MAC 地 址 前 3 个 字 节 的 公司 代码 为 02:60:8c。MAC 地 
址 的 6 个 字 节 用 12 个 十 六 进 制 数 标识 , 每 两 个 数 之 间 用 *: ”号 分 开 。 在 Wireshark 分 析 软 
件 中 ,可 以 直接 将 捕获 到 的 以 太 帧 的 MAC 地 址 的 制造 商 代 码 用 公司 名 称 显示 出 来 , 见 后 面 
的 实测 分 析 例 子 。 

(1) 单 播 地 址 : 由 制造 商 永 久 性 地 固化 在 NIC 中 ,网 卡 根据 此 地 址 来 识别 网 络 上 传输 
的 包 是 和 否 是 给 自己 主机 的 。 单 播 地 址 中 的 第 二 个 十 六 进 制 数 为 偶数 。 

(2) 组 播 地 址 : 用 于 标识 能 同时 接收 到 同一 个 帧 的 一 组 主机 。 多 播 地 址 中 的 第 二 个 十 
六 进 制 数 是 奇数 。NIC 的 多 播 地 址 由 主机 进行 设 定 。 举 例如 下 : 

目的 MAC 地 址 4A:30:10:21:10:1A 是 单 播 地 址 ,因为 第 2 个 数 0xA( 即 1010) 是 
偶数 。 

目的 MAC 地址 47:20:1B:2E:08:EE 是 多 播 地 址 ,因为 第 2 个 数 0x7( 即 0111) 是 
奇数 。 

(3) 广播 地 址 : 即 48 比特 全 为 1 的 MAC 地 址 ,用 十 六 进 制 数 表示 为 ff:ff:ff:ff:ff:ff。 

物理 地 址 在 网 络 上 的 传输 顺序 不 同 于 十 六 进 制 的 书写 顺序 。 传 输 是 按 地 址 字 节 从 左 向 
右 ,逐个 字 节 发 送 ,但 是 对 于 每 个 字 节 的 比特 发 送 顺 序 则 是 从 最 右 向 左 的 顺序 发 送 。 其 好 处 
是 : 这 种 发 送 顺序 可 使 得 定义 该 地 址 类 型 是 单 播 还 是 多 播 的 比特 最 先 到 达 接 收 端 。 

例如 ,MAC 地址 47:20:1B:2E:08:EE 的 发 送 顺 序 是 : 字 节 的 顺序 为 从 左 到 右 , 而 每 个 
字 节 内 的 比特 顺序 则 为 从 右 向 左 。 

发 送 方向 <-11100010 00000100 11011000 01110100 00010000 01110111 

4. 从 以 太 网 中 捕获 的 以 太 帧 实例 分 析 

图 3. 3 是 利用 Wireshark 从 以 太 网 捕获 的 一 个 以 太 帧 的 真实 案例 (操作 方法 参见 第 
7 章 )。 图 中 分 为 3 个 窗口 ,下 窗口 中 的 每 一 行 原始 数据 可 按照 图 3. 2 的 以 太 帧 结构 和 
表 3. 1 解读 分 析 如 下 : 

(1) 上 窗口 是 捕获 包 的 列表 : 第 6 号 帧 ,捕获 时 刻 12s, 源 地 址 vianettwo_47:6e:a3 , 目 
的 地 址 Broadcast, 上 层 协 议 arp, 包 中 信息 : 谁 的 IP 地 址 是 192. 168. 0. 1? 请 告 
192. 168. 0. 163 。 

(2) 中 窗口 是 选中 包 的 数据 解释 : 第 6 号 帧 ,网 络 线路 上 有 42 字 节 ,实际 捕获 了 42 字 
节 。Ethernet II (100Mb/s 以 太 帧 ) , 源 MAC 地 址 00:12:7b:47:6e:a3 ,目的 MAC 地 址 


[FEI Et YE CEEE balyre Slotstes Telephony Tools Hely TS 
天 抽 忆 创新 | 昕 加 区 名 品 | QQ 外 加 于 生 | 回 国 | QQQ 四 | 梳 国 加 类 | 


Filter ~ Eapression .. Clea Apply 


6 12. ViaNetwo_47:6e:a3 BrO S ARP 
四 Frame 6 (42 bytes on wire, 42 bytes captur. 

m Ethernet II，Src: ViaNetwo_47:6e:a3 (00:12:7b:47:6e:a3), Dst: Broadcast (fF:ff:ff:ff:fF:fFfF)| 
由 Address Resolution Protocol (request) 

[0000 FF FF FF FF FF FF 00 12 7b 47 6e a3 08 06 00 O01 ........ 二 rs 


ooio 08 00 06 04 00 01 00 12 7b 47 6e a3 cO a8 00 a3 .ae 
lo020 00 00 00 00 00 00 c0a8 0001 ____  _ ........:.. 


图 3.3 利用 Wireshark 捕获 的 一 个 以 太 帧 的 数据 分 析 
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f:f:f:1:f: 任 : 任 , 上 层 协 议 为 地 址 解析 协议 (请 求 ) 。 

(3) 下 窗口 是 选中 以 太 帧 数据 : 第 0x0000 一 0x0006 字 节 是 芋 妊 芋 寿 芋 任 ,第 0x0007 一 
0x0012 字 节 是 00 12 7b 47 6e a3 ,第 0x000c 一 0x000d 字 节 是 08 06 ,第 0x000e 一 0x0029 字 
节 是 载荷 数据 (ARP 包 ) 。 


3.1.3 以 太 网 的 物理 层 


表 3.2 为 IEEE 802.3 的 物理 层 的 定义 。 每 种 传输 媒体 有 3 个 参数 : 比特 速率 、 信 和 号 编 
码 技术 和 最 大 网 段 长 度 。 例 如 ,初期 共享 媒体 以 太 网 的 定义 是 : 10Base-5 以 太 网 使 用 直径 
10mm 的 粗 同 轴 电 缆 , 数 据 速率 10Mbps, 最 大 网 段 长 度 500m, 信 号 传输 使 用 曼彻斯特 编码 ， 
粗 同 轴 电 缆 使 用 不 方便 ;10Base-2 以 太 网 使 用 直径 5mm 的 同 轴 电 缆 , 传 输 速率 10Mbps, 最 
大 网 段 长 度 185m, 使 用 工 型 BNC 接头 。 目 前 已 很 少 使 用 同 轴 电 缆 。10Base-T 以 太 网 使 用 
两 对 非 屏 项 铜 芯 双 绞 线 (Unshielded Twisted Pair, UTP) ,传输 速率 10Mbps, 每 台 工 作 站 通 
过 一 根 UDP 双 绞 线 连接 到 一 个 集线器 Hub 构成 星 形 拓 扑 结构 ,集线器 就 是 信号 容易 产生 
冲突 的 地 方 。 双 绞 线 的 优点 是 价格 低廉 ,最 大 传输 距离 100m。10Base-F 以 太 网 使 用 多 模 
光纤 ,最 大 传输 距离 为 2000m。 共 享 媒体 的 传输 方式 后 来 被 存储 转发 式 的 交换 机 取代 了 , 现 
在 又 被 EPON 网 络 技术 采用 。 


表 3.2 IEEE 802.3 标准 以 太 网 的 物理 层 


标准 以 太 网 的 物理 层 使 用 基带 (Base Band) 传 输 数字 信号 ,发 送 端 将 数据 转换 为 曼 彻 斯 
特 码 送 入 传输 媒体 ,接收 端 将 收 到 的 曼彻斯特 码 解 码 还原 为 数据 。 曼 彻 斯 特 码 具有 自 同步 
功能 ,在 每 两 个 比特 的 交界 处 信号 产生 跳 变 ,接收 端 由 此 获得 时 钟 同步 信息 。 

1. 利用 双 绞 线 传输 

双 绞 线 (Twisted Pair Wire) 是 局 域 网 中 常用 的 一 种 传输 介质 ,特别 是 在 星 形 拓扑 网 络 
中 。 双 绞 线 由 两 根 具 有 绝缘 保护 层 的 铜 导 线 组 成 ,把 两 根 导线 按 一 定 密度 互相 缠绕 在 一 起 。 
当 传 输 信号 时 , 相 邻 绞 环 对 外 电磁 场 辐射 大 小 相等 而 相位 相反 ,因此 互相 抵消 。 双 绞 线 一 方 
面 可 降低 线 内 传输 的 信号 对 外 的 辐射 干扰 , 另 一 方面 也 可 以 降低 受 外 界 电 磁场 干扰 的 程度 。 
常用 的 五 类 双 绞 电缆 由 四 对 双 绞 线 组 成 ,同一 电缆 中 不 同 线 对 具有 不 同 的 缠绕 度 , 以 降低 相 
邻 线 对 间 的 串扰 ,如 图 3.4 所 示 。 第 2 章 已 讨论 过 电话 系统 使 用 的 三 类 双 绞 线 , 在 以 太 局 域 
网 中 更 重视 双 绞 线 的 高 频传 输 性 能 。 

双 绞 线 的 性 能 指标 包括 : 信号 衰减 、 近 端 串扰 、 特 性 阻抗 ,分布 电容 、 直 流 电 阻 等 。 

双 绞 线 的 特性 阻抗 可 以 用 射频 双 平行 传输 线 的 理论 进行 分 析 , 特 性 阻抗 取决 于 铜 蕊 导 
线 的 直径 以 及 双 平 行 导线 之 间 的 间距 和 绝缘 介质 (参看 有 关 天 线 馈 电 与 射频 传输 线 资料 )， 
常用 的 UTP 双 绞 线 的 特性 阻抗 约 为 1009 。 按 照 高 频传 输 线 的 理论 ,要 求 双 绞 线 的 两 根 导 
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相 邻 绞 环 的 感应 电流 大 小 相等 方向 相反 ， 互 相抵 消 
图 3.4 双 绞 线 与 RJ-45 水 晶 插 头 的 线 序 


线 间距 保持 不 变 ,施工 和 安装 时 不 能 将 双 绞 线 间距 拉 开 ,否则 改变 了 该 处 的 特性 阻抗 。 双 绞 
线 的 终端 负载 ( 即 网 络 接口 卡 ) 的 输入 特性 阻抗 应 当 等 于 1009 ,否则 对 输入 的 数据 脉冲 信号 
将 会 产生 反射 波 ,导致 传输 的 误 码 率 增加 。 

双 绞 线 分 为 屏蔽 双 绞 线 (STP) 与 非 屏蔽 双 绞 线 (UTP) 两 大 类 。 其 中 屏蔽 双 绞 线 有 3 类 
和 5 类 两 种 , 非 屏蔽 双 绞 线 有 3 类 、4 类 、5 类 、 超 5 类 4 种 。3 类 双 绞 线 的 传输 速率 为 
10Mbps,5 类 双 绞 线 的 速率 可 达 100Mbps, 超 5 类 可 达 155Mbps 以 上 。 屏 项 双 绞 线 因为 电 
缆 的 外 层 有 一 层 铝箔 包 焉 用 以 减 小 辐射 ,制作 比较 麻烦 ,再 加 上 价格 较 非 屏 蔽 双 绞 线 贵 , 所 
以 在 100Base-TX 网 络 中 常用 的 是 非 屏 项 5 类 和 超 5 类 双 绞 线 。 双 绞 线 568 布线 标准 分 为 
EIA/TIA 568A、EIA/TIA 568B 两 种 。 

双 绞 线 用 户 电缆 的 接线 插头 一 般 为 RJ-45 水 晶 头 ,如 图 3.4 所 示 。 制 作 电缆 插头 时 将 
电费 按照 颜色 顺序 插入 水 晶 头 ,用 专用 压 线 钳 压 固 。 电 线 色 码 的 排序 方法 有 两 种 ， 
T568A 标准 的 线 序 从 左 到 右 为 : 1. 白 绿 ,2. 绿 ,3. 白 橙 ,4. 蓝 ,5. 白 蓝 ,6. 橙 ,7. 白 棕 ,8. 棕 。 
T568B 标准 的 线 序 从 左 到 右 为 : 1. 白 检 ,2. 橙 ,3. 白 绿 ,4. 蓝 ,5. 白 蓝 ,6. 绿 ,7. 白 棕 ,8. 棕 。 
国内 网 络 工程 中 常用 T568B 标准 。 

双 绞 线 用 户 电缆 按 接线 方式 分 为 两 种 : 直 连 方式 ,两 个 端 头 的 水 晶 头 都 使 用 相同 的 接 
线 顺序 标准 ,用 于 将 计算 机 与 各 种 网 络 交换 机 和 集线器 等 设备 的 互联 ,如 图 3. 5(a) 所 示 ; 交 
又 连 线 方式 ,一 个 端 头 使 用 T568A 线 序 , 另 一 个 端 头 则 使 用 T568B 线 序 , 用 于 直接 将 两 台 
主机 的 网 络 接口 互 连 ,或 是 将 两 个 没有 级 联 口 的 HUB 进行 级 联 , 如 图 3. 5(b) 所 示 。 
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RJ-45 引 脚 RJ-45 引 脚 RJ- 45 引 肢 RJ- 人 
发 送 数据 + 1 QD 一 一 OD | 
发 送 数据 -1G GO)| 
接收 数据 +1@y 一 一 -+3) ! 
未 用 1@ | 1@| 
用 @! 1@| 
接收 数据 一 1 @ 二 一 r@) ! 
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A®) ©®) 
(a) 集线器 与 网 卡 之 间 的 直 连 方式 (b) 互联 集线器 应 使 用 交叉 电弧 


图 3.5 以 太 网 的 两 种 双 绞 线 用 户 电缆 接线 方式 
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在 100Base-TX 以 太 网 中 ,只 使 用 了 电缆 中 4 对 双 绞 线 中 的 2 对 , 线 端 四 加 用 于 发 送 ， 
线 端 外 @ 用 于 接收 , 当 A 和 B 两 台 主 机 直接 互联 时 ,应 当 把 A 机 的 发 送 端口 接 到 B 机 的 接 
收 端口 ,而 A 机 的 接收 端口 接 到 B 机 的 发 送 端 口 ,因此 需要 在 制作 水 晶 头 接 线 时 将 线 对 进 
行 交 叉 。 其 余 的 2 对 双 绞 线 田 @@ 和 @@ 可 分 别 用 于 传输 音频 小 信号 ,或 给 终端 设备 传输 小 
功率 直流 电源 (如 网 络 监控 摄像 机 等 的 供电 12V DC, 二 500mA)。 这 种 应 用 称 为 
POE(Power Over Ethernet), 

2. 利用 多 模 和 单 模 光 纤 传输 

当 以 太 网 的 干线 传输 距离 大 于 100m 后 ,可 使 用 光纤 收发 器 将 双 绞 线 的 电信 和 号 转换 为 
光 信 号 ,然后 采用 两 根 光纤 传输 光 信号 ,一 根 用 于 发 送 , 另 一 根 用 于 接收 。 光 纤 的 纤 蕊 由 两 
种 不 同 折射 率 的 玻璃 拉丝 而 成 。 其 工作 原理 是 : 光线 在 均匀 传输 媒质 中 沿 直线 传输 ,人 射 
在 两 种 不 同 折射 率 的 媒质 交界 面 上 时 产生 反射 和 折射 。 当 光线 从 高 密度 媒质 人 射 到 与 低 密 
度 媒质 的 分 界面 时 ,如 果 入 射 角 大 于 临界 角 就 会 产生 全 反射 ,使 光线 反射 回 高 密度 媒质 中 
传播 。 

光纤 利用 全 反射 原理 来 引导 光 的 传输 ,如 图 3.6 所 示 。 光 纤 的 芯 体 材料 为 高 折射 率 玻 
璃 纤维 ,外 部 包 里 着 一 层 低 折 射 率 的 玻璃 包 层 。 光 纤 的 外 包 层 直径 为 125pym, 而 芯 径 分 为 
3 种 : 阶 路 折射 率 多 模 光 纤 的 芯 径 为 62. 5ym, 渐 变 折 射 率 多 模 光 纤 的 芯 径 为 50pm, 单 模 光 
纤 的 世 径 为 7~9pm 左右 。 
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(a) 多 模 ， 阶 跃 折 射 率 ，62.5/125hm (b) 多 模 ， 渐 变 折射 率 ，$50/125hm 
人 输出 光 信号 


(c) 单 模 ，97/125pm 
图 3.6 单 模 光 纤 与 多 模 光 纤 的 外 径 与 内 径 比较 


阶 路 折射 率 多 模 光 纤 的 纤 芯 折射 率 大 于 包 层 折射 率 , 利 用 光 在 两 种 密度 玻璃 分 界面 上 
的 全 反射 原理 工作 ,如 图 3.6(a) 所 示 。 由 于 光 在 纤 芯 内 有 多 种 路 径 传输 ,光源 发 出 光 脉 冲 
的 不 同 成 分 会 沿 不 同 路 径 到 达 终 端 , 产 生 的 时 延 不 同 , 因 而 导致 接收 到 的 光 脉 冲 前 后 沿 展 
宽 。 当 光 脉 冲 间距 较 小 时 ,接收 端 收 到 的 相 邻 脉冲 的 前 后 沿 相互 重 释 而 不 能 识别 是 几 个 脉 
冲 , 所 以 能 传输 的 最 高 脉冲 频率 较 低 。 多 模 光 纤 的 芯 径 较 粗 ,便于 与 网 卡 和 LED 发 光 二 极 
管 进行 光 耦 合 ,因此 光纤 收发 器 价格 低廉 ,常用 于 局 域 网 和 设备 机 房 内 。 

渐变 折射 率 多 模 光 纤 的 纤 蕊 中 折射 率 是 渐变 的 ,在 中 心 处 折射 率 最 高 ,从 中 心 向 边缘 逐 
渐 降 低 , 在 与 包 层 交界 处 最 低 。 光 线 从 纤 芯 向 包 层 传输 时 产生 渐变 折射 ,又 返回 到 中 心 , 有 
自 汇 聚 效果 ,如 图 3. 6(b) 所 示 。 它 的 传输 频率 比 阶 路 折射 率 多 模 光纤 高 ,但 是 比 单 模 光纤 
低 。 常 用 于 GE 局 域 网 等 ,型 号 为 G. 651 序列 。 

单 模 光 纤 为 阶 跃 折射 率 光 纤 , 它 的 芯 径 很 小 ,不 同 光 束 的 传播 路 径 几 乎 相同 ,用 激光 二 
极 管 LD 为 光源 。 单 模 光 纤 的 模式 色散 很 小 ,主要 受 材 料 色 散 的 影响 , 光 脉 冲 传输 频率 很 
高 ,用 于 高 速 主干 网 络 和 长 距离 传输 ,如 图 3. 6(c) 所 示 。 常 用 型 号 为 G. 652 序列 等 。 
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图 3.7 为 不 同 波长 的 光 在 光纤 中 传输 每 公里 长 度 的 训 减 曲线 图 ,其 中 有 几 段 训 耗 较 小 
的 区 域 称 为 低 损耗 传输 窗口 。 第 一 窗口 : 0. 8 一 1. lxm:, 第 二 窗口 : 1. 3um 附近 ,第 三 窗口 : 
1. 5pm 附近 。 后 两 个 低 损耗 窗口 的 衰减 分 别 约 为 0. 4dB/km 和 0. 2dB/km。 每 个 窗口 的 覆 
盖 频 率 范 围 有 几 个 THz (1THz 王 102 Hz)。 光 纤 内 的 光速 约 2X10*my/s, 每 公里 延 时 约 
5ws。 曲 线 中 的 误 耗 峰值 是 由 于 纤 芯 中 的 OH 粒子 的 谐振 吸收 所 致 ,新 型 的 无 水 吸收 峰 光 
纤 已 经 能 基本 消除 曲线 中 的 OH 谐振 训 耗 峰 , 实 现 全 波段 光 的 传输 能 力 。 
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波长 (um) 
图 3.7 不 同 波长 的 光 在 光纤 中 的 传输 衰减 特性 


光纤 通信 使 用 两 类 光源 : 发 光 二 极 管 (Light-Emitting Diode, LED) 和 激光 二 极 管 
(Laser Diode,LD)。 它 们 的 主要 差别 在 于 发 光 的 强度 、 波 长 .光谱 纯度 ,以 及 可 调制 的 最 大 
速率 。LED 的 发 光 强 度 正比 于 输入 电流 , 当 输入 电流 为 50mA 时 ,发 光 强 度 约 几 mW 。 
LED 发 射 的 光谱 带宽 较 大 , 它 的 幅度 调制 频率 范围 为 kHz 一 100MHz, 常 用 于 局 域 网 和 遥 
控 器 等 ,在 多 模 光 纤 局 域 网 中 使 用 0. 85pm 波长 的 红外 LED。LD 的 发 光 强 度 比 LED 大 几 
个 数量 级 ,有些 LD 的 工作 截止 频率 可 达 11Gbps, 发 射 的 光谱 较 窗 ,可 以 将 多 个 不 同 波长 的 
LD 的 发 射 光 注 入 同一 根 光纤 ,实现 波 分 多 路 复 用 WDM。LD 的 发 光 强 度 受 温度 和 注入 电 
流 影 响 较 大 ,控制 电路 较 复杂 ,常用 于 长 距离 大 容量 光纤 通信 等 。 光 纤 通 信和 的 接收 端 利用 
PIN 光 / 电 二 极 管 将 光 信号 转换 为 电信 号 。 在 同一 个 光纤 链 路 中 ,不 同 工 作 波长 和 模式 的 光 
纤 网 络 接口 设备 不 能 混用 。 

图 3. 8 所 示 为 3 种 不 同类 型 的 光缆 连接 器 。SC(Subscriber Channel) 光缆 连接 器 常用 
于 网 络 交 换 机 中 ,采用 推拉 式 固 定 方 法 , 拔 插 较 方便 。ST(Straight-tip) 光 缆 连 接 器 用 于 将 
光缆 连接 到 跳 线 设备 上 ,采用 卡 式 固定 方法 , 比 SC 更 可 靠 。MT-RJ 光缆 连接 器 ,RX 接收 
端 与 TX 发 送 端 固定 在 一 起 。 还 有 LC 光纤 连接 器 等 多 种 不 同 规格 ,适用 于 不 同 的 应 用 
场合 。 

光纤 通信 的 优点 为 : 高 带宽 ,目前 使 用 的 波 分 多 路 复 用 光纤 通信 技术 ,能 以 1600Gbps 
的 速率 传输 数据 ;信号 衰减 小 ,无 中 继 距离 可 达 50km 以 上 ;无 电磁 干扰 ;光纤 的 抗 腐蚀 能 力 
比 铜 线 更 强 ;重量 轻 ; 不 易 被 穿 听 。 光 纤 通 信 的 缺点 为 安装 和 维护 较 困 难 ,要 使 用 专门 的 连 
接 工 具 和 设备 。 一 般 用 于 通信 距离 大 于 双 绞 线 的 传输 距离 的 网 络 链 路 中 。 
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图 3.8 3 种 不 同类 型 的 光缆 连接 器 


3. 利用 单 模 光纤 的 波 分 多 路 复 用 传输 

上 述 利用 两 根 单 模 光纤 传输 以 太 网 基带 信号 的 方案 ,适用 于 传输 距离 3 一 10km 以 内 的 
园区 网 主干 线 ,其 缺点 是 对 光纤 的 利用 率 较 低 。 波 分 多 路 复 用 传输 (Wave-Division 
Multiplexing,WDM) 利 用 光纤 中 同时 传输 不 同 波长 的 光 , 构 成 多 个 不 同 光 信道 的 方式 ,可 
以 大 大 提高 光纤 的 利用 率 。WDM 分 为 粗 波 分 多 路 复 用 CWDM 和 密集 波 分 多 路 复 用 
DWDM 两 大 类 。 

当前 成 熟 和 廉价 的 CWDM 可 在 一 根 单 模 光 纤 中 传输 1310nm、1510nm 或 1550nm 波 
长 的 光 ,构成 3 个 单 向 或 双向 的 信道 ,例如 在 EPON 以 太 网 无 源 光 纤 网 络 中 的 应 用 。 在 长 
距离 单 模 光纤 主干 传输 网 中 可 使 用 DWDM ,将 波长 1530 一 1560nm 范围 内 的 光谱 分 为 数 十 
个 信道 ,每 个 光 信 和 道 的 光谱 宽度 仅 为 0.8 一 2nm., 并 与 EDFA 摊 乌 光纤 放大 器 配合 使 用 ,可 
极 大 地 提高 光纤 中 的 光 信道 数量 和 传输 距离 。 

4. 利用 SDH 数据 通信 网 络 传输 

在 构建 一 个 传输 距离 为 数 十 至 数 百 公 里 的 省 域 或 城 域 高 速 以 太 网 时 ,可 利用 同步 数据 
网 SDH 提供 的 时 分 多 路 复 用 的 数据 传输 信道 ,来 实现 多 个 以 太 局 域 网 之 间 的 远程 点 对 点 
的 高 速率 传输 。 这 种 方案 的 优 缺 点 的 介绍 ,参看 第 2. 4 节 基 于 SDH 的 多 业务 传输 平台 
MSTP 在 互联 网 中 的 应 用 。 


3.1.4 IEEE 802. 3u 快速 以 太 网 


为 了 提高 以 太 网 的 传输 速率 ,以 太 网 的 标准 进行 了 一 些 改进 ,其 中 包括 交换 式 的 以 太 网 
和 全 双 工 的 以 太 网 技术 。 在 全 双 工 交换 式 以 太 网 中 ,不 再 使 用 CSMA/CD 的 媒体 访问 方 
法 。 每 台 工 作 站 通过 两 对 双 绞 线 直 接连 接 到 交换 机 ,交换 机 的 每 个 端口 都 有 缓存 器 ,信号 的 
发 送 和 接收 可 以 同时 进行 ,不 会 产生 信号 的 冲突 ,不 再 需要 载波 侦 听 和 冲突 检测 。 但 是 为 了 
保持 不 同 速率 以 太 网 的 兼容 性 ,仍然 保留 MAC 层 的 功能 。 

1995 年 制定 的 IEEE 802. 3u 标准 使 以 太 网 可 以 工作 在 100Mbps 的 传输 速率 ,被 称 为 
FE 快速 以 太 网 。 为 了 与 已 有 的 10Mbps 标准 以 太 网 相互 兼容 ,快速 以 太 网 采用 了 相同 的 帧 
格式 ,接口 和 通信 规程。CSMA/CD 的 媒体 访问 控制 策略 对 线 缆 上 的 往返 传输 延迟 与 帧 发 
送 时 间 之 比 很 敏感 ,为 了 获得 好 的 运行 效果 ,这 一 比值 应 当 保持 很 小 。 因 此 ,最 小 帧 长 的 发 
送 时 间 应 当 大 于 信和 号 在 电缆 上 的 往返 传播 延迟 时 间 。 当 速率 从 10Mbps 提高 到 100Mbps 
后 , 包 的 发 送 时 间 减 小 了 10 倍 。 为 了 在 集线器 的 以 太 网 上 继续 采用 CSMAVCD 的 MAC 协 

。，71 。 


议 ,最 小 帧 长 应 当 增 加 10 倍 为 640B。 对 于 使 用 交换 机 的 网 络 , 不 需要 此 限制 。 

表 3. 3 为 快速 以 太 网 的 分 类 。 其 中 100Base-TX 使 用 两 对 5 类 非 屏蔽 双 绞 线 或 屏蔽 双 
绞 线 ,一 对 用 于 发 送 ,一 对 用 于 接收 数据 。 它 支持 全 双 工 的 数据 传输 。 使 用 交换 机 组 网 时 ， 
信号 在 交换 机 的 各 端口 间 采 用 存储 转发 的 模式 ,因此 就 不 需要 采用 CSAM/CD 的 载波 侦 听 
和 冲突 检测 。 因 此 交换 式 的 快速 以 太 网 的 帧 格式 .最 短 和 最 大 帧 长 ,以 及 寻 址 方式 等 方面 ， 
与 10Mbps 以 太 网 都 是 相同 的 。 不 同 之 处 是 在 物理 电路 的 信号 编码 采用 了 4B/5B 的 编码 ， 
线路 速率 125Mbps ,使 用 MLT-3 的 线路 电 平 信号 。 符 合 EIA586 的 5 类 布线 标准 和 IBM 
的 SPT 1 类 布线 标准 。 使 用 同 10Base-T 相同 的 RJ-45 连接 器 。 它 的 最 大 网 段 长 度 
为 100m。 


表 3.3 IEEE 802.3u 快速 以 太 网 


传输 媒介 3,4,5 类 双 绞 线 ,4 对 线 | 5 类 UTP 双 绞 线 ,2 对 线 | 单 模 或 多 模 光 纤 ,2 根 光 纤 
最 大 网 段 长 度 2000m( 单 模 ) 
拓扑 结构 点 对 点 连接 


100Base-FX 是 使 用 光缆 的 快速 以 太 网 技术 ,可 使 用 单 模 (9/125pm) 和 多 模 光 纤 (62. 5/ 
125pm)。 在 传输 中 使 用 4B/5B 编码 ,信号 速率 为 125Mbps。 使 用 光纤 ST、LC 或 SC 连接 
器 。 最 大 网 段 长 度 为 2000m 或 更 长 至 10km, 这 与 所 使 用 的 光纤 类 型 和 工作 模式 有 关 。 支 
持 全 双 工 的 数据 传输 。100Base-FX 适合 于 有 电气 干扰 的 环境 、 较 大 传输 距离 或 保密 环境 等 
情况 下 的 应 用 。 

100Base-T4 是 可 使 用 3、4、5 类 无 屏蔽 双 绞 线 或 屏蔽 双 绞 线 的 快速 以 太 网 技术 。 使 用 
4 对 双 绞 线 ,3 对 用 于 并 行 传送 数据 ,1 对 用 于 检测 冲突 信号 。 线 路 中 使 用 8B/6T 编码 , 信 
号 速率 为 25Mbps。 符 合 EIA586 结构 化 布线 标准 。 使 用 同 10Base-T 相同 的 RJ-45 连接 
器 。 最 大 网 段 长 度 为 100m。 目 前 较 少 使 用 。 

自动 协商 模式 (Auto Negotiation Mode) 在 IEEE 802. 3u Fast Ethernet 规范 中 有 详细 
的 说 明 。 具 有 自动 协商 模式 的 集线器 和 网 卡 在 上 电 后 会 定时 发 "快速 链 路 脉冲 (FLP)” 序 
列 ,该 序列 包含 有 半 双 工 、 全 双 工 .10M、100M、TX 的 信息 ,对 方 检测 相应 的 信息 ,并 自动 调 
节 到 双方 均 能 接受 的 最 佳 模式 上 。 这 样 , 可 以 保证 双方 能 以 可 接受 的 最 佳 速率 连接 。 可 简 
化 局 域 网 的 管理 。 


3.1.5 IEEE 802.3z 和 王 兆 以 太 网 


IEEE 802. 3z 千 兆 以 太 网 (Giga bit Ethernet,GE) 的 标准 于 1998 年 制定 ,将 快速 以 太 
网 的 帧 速率 提高 了 10 倍 , 但 是 保持 以 太 帧 的 结构 不 变 。 其 目标 是 定义 出 新 的 物理 层 协议 ， 
以 保持 帧 结构 和 访问 规程 与 10Mbps IEEE 802. 3 的 兼容 。 

全 双 工 模式 : 千 兆 位 以 太 网 主要 采用 全 双 工 模式 通信 ,用 于 交换 机 与 交换 机 、 交 换 机 与 
工作 站 的 连接 。 每 个 交换 机 的 端口 都 用 缓存 器 将 数据 存储 ,然后 等 线路 空闲 时 转发 出 去 ,不 
会 产生 冲突 。 因 此 传输 的 最 大 距离 仅 受 限制 于 信号 在 线 缆 中 的 传输 衰减 。 因 此 GE 以 太 网 
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在 校园 网 和 城 域 网 中 得 到 广泛 应 用 。 

半 双 工 操 作 模 式 : 用 于 使 用 中 继 器 (Repeater) 和 载波 侦 听 多 路 访问 和 冲突 检测 
(CSMA/CD) 访 问 技术 的 共享 连接 ,这 种 工作 模式 已 很 少 使 用 。 

表 3.4 为 IEEE 802.3z 千 兆 以 太 网 的 类 型 。1000Base-CX 是 一 种 基于 铜 绕 的 标准 ,使 
用 8B/10B 线路 编码 解码 方式 ,使 用 屏蔽 双 绞 线 , 最 大 传输 距离 为 25m, 可 用 于 网 络 机 房 内 
的 设备 间 互 连 。1000Base-LX 使 用 1300nm 波长 光源 , 单 模 光 纤 , 使 用 8B/10B 线路 编 解码 
方式 ,最 大 传输 距离 为 3000m。 当 使 用 多 模 光 纤 时 ,用 8B/10B 编码 解码 方式 ,传输 距离 为 
300 一 550m。1000Base-SX 使 用 780nm 短波 长 光源 ,用 8B/10B 编 解码 方式 ,使 用 多 模 光 
缆 , 最 大 传输 距离 为 500m。1000Base-T 使 用 无 屏蔽 双 绞 线 传输 介质 ,使 用 1000Base-T 
Copper PHY 编 解码 方式 ,传输 距离 为 100m。 


表 3.4 IEEE 802.3z 千 兆 以 太 网 


短波 长 光 长 波长 激光 2 对 4 4 对 线 
拓扑 结构 史 


线路 编码 8B/10B,NRZ 8B/10B,NRZ 8B/10B,NRZ 4D-PAM5 


3.1.6 IEEE 802. 3ae 十 千 兆 以 太 网 


IEEE 制定 了 十 千 兆 以 太 网 10GE 的 标准 , 称 为 IEEE 802. 3ae。 其 设计 目标 是 帧 速率 
为 10Gbps; 与 标准 以 太 网 .快速 以 太 网 和 千 兆 以 太 网 兼容 ;使 用 同样 的 48 位 MAC 地 址 ;使 
用 同样 的 以 太 帧 结构 ;保持 同样 的 最 小 和 最 大 帧 长 ;可 以 将 现 有 LAN 连接 到 城 域 网 MAN 
和 广域网 WAN。 

十 千 兆 以 太 网 只 用 全 双 工 模式 通信 ,不 使 用 CSMAVCD 的 媒体 访问 方式 ,一 般 使 用 单 
模 光 纤 传 输 , 广泛 用 于 城 域 网 和 校园 网 的 主干 。 有 3 种 类 型 : 10GBase-S、10GBase-L、 
10GBase-E, 如 表 3.5 所 示 。 


表 3.5 10Gbps 以 太 网 的 类 型 


10GBase-S 
波长 850nm, 多 模 光 纤 | 波长 1310nm, 单 模 光 纤 


特性 参数 10GBase-L 
传输 媒体 


最 大 长 度 


10GBase-E 
波长 1550nm, 单 模 光纤 
40km 


由 于 10GE .GE 千 兆 以 太 网 采用 了 与 10Base-T 和 100Base-T 完全 相同 的 以 太 帧 结构 

( 见 图 3.2) ,差别 只 是 帧 的 速率 、 物 理 层 的 传输 媒介 ( 双 绞 线 、 光 纤 或 同 轴 电 缆 )、 电 或 光 脉 冲 

的 信道 编码 等 方面 ,因而 这 些 不 同 速率 的 以 太 帧 能 够 在 同一 个 网 络 中 混合 传输 ,不 需要 改变 

原 有 网 络 的 拓扑 结构 。 由 于 每 个 以 太 帧 在 网 络 中 是 独立 传输 的 , 且 长 度 不 同 (64 一 1518B)， 

当 交 换 机 或 接收 机 的 以 太 网 卡 收 到 一 个 以 太 帧 后 ,从 帧 的 前 导 符 的 频率 可 识别 出 该 帧 的 速 

率 , 然 后 自动 将 接收 网 卡 的 时 钟 与 接收 帧 同步 ,从 而 正确 读 取 该 以 太 帧 的 数据 。 以 太 网 卡 的 
侣 人 


速率 可 向 下 兼容 ,例如 一 个 GE 以 太 网 卡 , 可 自动 与 收 到 的 千 兆 ` 百 兆 和 十 兆 bps 的 以 太 帧 
同步 ,但 是 不 能 接收 读 取 10GE 的 以 太 帧 。 

综 上 所 述 , 不 同 速 率 的 全 双 工 以 太 网 可 以 共同 组 网 ,通过 交换 机 存储 和 转发 实现 不 同 网 
段 的 帧 速率 的 自动 协商 识别 和 转换 。 图 3. 9 给 出 了 典型 的 交换 式 全 双 工 以 太 网 的 示意 。 一 
台 1Gbps 或 10Gbps 的 以 太 网 主干 交换 机 为 Web 服务 器 .管理 服务 器 和 各 局 域 网 之 间 提 供 
高 速 主 干 连接 ,每 个 支 路 交换 机 支持 1Gbps 链 路 和 100Mbps 以 及 10Mbps 链 路 的 连接 。 在 
以 太 网 卡 中 利用 收 到 帧 中 的 前 导 符 来 自动 识别 该 帧 的 标 称 速率 ,并 与 其 同步 。 


1Gbps 以 大 网 
主干 交换 机 Ed 和 有 入 
B 


Web 服 务 器 100Mbps 快 速 10Mbps 标 准 1Gbps 链 路 
以 太 网 交换 机 以 太 网 交换 机 一 -一 100Mbps 链 路 


外 tsb 
i DS < 出 


图 3.9 不 同 速率 的 交换 式 以 太 网 的 组 网 示意 


3.2 动态 主机 配置 协议 DHCP 及 其 安全 


一 台 计 算 机 可 能 有 多 个 网 络 接口 ,例如 ,一 个 有 线 以 太 网 接口 和 一 个 IEEE 802. 11 
无 线 网 接口 等 。 在 一 个 以 太 网 接口 上 需要 的 IP 地 址 参数 ,包括 本 接口 的 IP 地 址 、 子 网 
掩 码 、 默 认 网 关 的 IP 地 址 、 域 名 服务 器 DNS 的 IP 地 址 等 。 动态 主 机 配置 协议 
(Dynamic Host Configuration Protocol, DHCP) 用 于 对 主机 的 以 太 网 接口 提供 动态 的 或 
静态 的 网 络 地 址 参数 配置 。 当 一 台 主 机 首次 接 人 以 太 网 或 者 重新 申请 IP 参数 配置 时 ， 
只 知道 本 机 网 卡 的 MAC 地 址 ,其 余 缘 无 ,就 向 本 网 内 的 DHCP 服务 器 申请 获得 本 接口 
的 上 述 耳 地 址 参数 。 

动态 主机 配置 协议 DHCP 采用 客户 机 /服务 器 构架 , 见 图 1. 5(a) 。 每 个 以 太 网 内 设 一 
个 DHCP 服务 器 ,客户 端 装 在 网 络 计算 机 上 。DHCP 服务 器 内 有 两 个 数据 库 : 第 一 个 数据 
库 是 将 以 太 网 内 某 些 主机 的 MAC 物理 地 址 静态 地 绑 定 到 指定 的 IP 地 址 上 (通过 手动 设 
置 )。 第 二 个 数据 库 保存 对 网 内 主机 的 MAC 地 址 动态 分 配 的 IP 地 址 。 当 一 个 DHCP 客户 
机 给 服务 器 发 送 请 求 时 ,服务 器 先 检查 其 静态 数据 库 , 如 果 在 静态 数据 库 中 存在 所 请 求 的 
MAC 物理 地 址 的 记录 ,那么 就 向 客户 机 返回 已 分 配给 它 的 固定 IP 地 址 参数 。 如 果 静 态 和 
动态 数据 库 中 都 没有 该 MAC 地 址 的 记录 ,DHCP 服务 器 就 自动 地 从 备用 IP 地 址 池 中 选择 
一 个 ,连同 其 他 参数 一 起 发 给 该 客户 机 ,并 将 此 记录 添加 到 动态 数据 库 中 。 这 种 临时 分 配 的 
IP 地 址 是 有 租用 期 限制 的 , 当 租用 期 满 后 .客户 机 需要 重新 发 出 申请 。DHCP 的 客户 端口 
是 68 ,服务 器 端口 是 67。 

在 中 小 型 以 太 网 (如 家 庭 网 络 等 ) 中 常 将 DHCP 服务 器 与 网 关 等 设置 在 同一 个 网 络 设 
备 中 。 
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3.2.1 DHCP 协议 的 工作 过 程 


第 1 步 : 当 一 台 计 算 机 初次 接 和 人 以 太 网 时 ,或 者 在 “命令 提示 符 ” 界 面 下 输入 命令 
ipconfig /renew 重 置 本 机 IP 参数 (第 7. 1 节 的 介绍 ) ,此 时 作为 DHCP 客户 端的 本 机 只 有 
自己 网 卡 的 MAC 地 址 ,没有 IP 地 址 。 它 就 产生 一 个 应 用 层 的 Bootstrap 协议 的 数据 包 , 封 
装 在 传输 层 的 UDP 包 中 ,此 UDP 包 再 封装 到 IP 包 中 ,此 IP 包 再 封装 到 以 太 帧 中 广播 发 送 
到 以 太 网 上 。DHCP 帧 的 封装 结构 按 帧 头 部 顺序 表示 为 eth:ip:udp:bootp。 

参看 图 3. 10 所 示 案 例 中 的 1 号 包 。 在 初次 发 送 的 DHCP 请 求 中 ,以 太 帧 的 源 物 理 地 
址 是 本 机 的 MAC 地 址 (已 知 ) ,目的 物理 地 址 是 以 太 网 的 广播 地 址 ff:ff:ff:f:fft:ff。JIP 包 
的 源 IP 地 址 是 0.0.0.0, 目 的 IP 地 址 是 互联 网 广播 地 址 255. 255. 255. 255。UDP 包 的 源 
端口 号 68(bootpc 客户 ) ,目的 端口 号 67(bootps 服务 器 ) ,参看 附录 A。 并 且 给 本 次 DHCP 
request 请 求 交 易 指定 一 个 ID 号 ,本 次 交易 ID 号 为 0xf4e626ab。 本 例 的 网 络 数据 捕获 分 析 
方法 参看 第 7. 1. 5 节 的 介绍 。 


; [bootp Expression.. Clear Apply 


| Destination 


| Protocol Info 

] UV.' UO.0.0.0 2 ] 2 259 DHCP DHCP ReQUeST 
四 Frame 1 (349 bytes on wire, 349 bytes captured) 
田 Ethernet II，Src: ViaNetwo_47:6e:a3 (00:12:7b:47:6e:a3), Dst: Broadcast (CFF:ff:ff:ff 
Internet Protocol, Src: 0.0.0.0 (0.0.0.0), Dst: 255.255.255.255 (255.255.255.255) 
困 User Datagram Protocol, src Port: bootpc (68), Dst Port: boorps (67) 

四 Bootstrap Protocol 


图 3.10 计算 机 初次 接 入 以 太 网 时 自动 发 送 的 DHCP 请 求 包 


第 2 步 : 参看 图 3.11 所 示 案 例 中 的 2 号 包 。 本 地 DHCP 服务 器 收 到 广播 DHCP 请 求 
后 ,就 检查 两 个 地 址 数据 库 ,确定 了 分 配给 此 客户 机 的 IP 参数 后 ,生成 bootstrap 协议 包 , 将 
其 封装 入 UDP 包 ( 源 端口 68 ,目的 端口 67) ,再 封 和 人 IP 包 ( 源 IP 地址 192.168.0.1, 目 的 IP 
地 址 255. 255. 255. 255) ,再 封装 和 以太 帧 中 发 送 ( 源 MAC 地 址 00:12:7b:47:6e:a3 ,目的 
MAC 地 址 和 :ff:ff:ff:ff:ff)。 同 时 还 必须 注 明 : 这 是 对 交易 ID 号 0xf4e626ab 的 应 答 。 


Yo. Time Source Destination Protocol Info | 5 人 一 
HCP _ Request — Transaction ID Oxf4e626ab 
可 = Transact1 rsp 


bytes on wire, bytes cal 

四 Ethernet II, Src: D-Link_0e:al:74 (00:15:e9:0e:al:74), Dst: Broadcast (fF:ff:ff:ff:ff: 
B Internet Protocol, src: 192.168.0.1 (192.168.0.1), Dst: 255.255.255.255 (255.255.255.255; 
User Datagram Protocol, Src Port: bootps (67), Dst Port: bootpc (68) 

由 Bootstrap Protocol 


图 3.11 DHCP 服务 器 将 分 配 的 IP 地址 参数 组 发 给 客户 机 


在 DHCP 服务 器 发 给 客户 机 的 Bootstrap 包 中 含有 丰富 的 网 络 配置 信息 ,主要 有 分 配 
给 客户 机 的 IP 地 址 及 其 租用 期 ; 子 网 掩 码 ;DHCP 服务 器 的 IP 地 址 :本 地 出 口 网 关 或 路 由 
器 的 IP 地 址 ;本 地 域名 服务 器 的 IP 地 址 等 。 客 户 机 收 到 后 就 将 这 些 参数 配置 到 自己 的 网 
络 地 址 参数 中 ,成 为 局 域 网 中 的 正式 成 员 ,就 可 以 访问 互联 网 了 。 

DHCP 服务 器 提供 给 客户 机 的 IP 地 址 参数 组 的 租用 期 长 短 可 根据 局 域 网 用 户 的 流动 
性 和 IP 地 址 资源 状况 而 设置 , 短 的 租用 期 仅 为 2 小 时 ,长 的 租用 期 可 设 为 7 天 ,租用 期 结束 
后 客户 机 需要 向 服务 器 重新 提出 申请 。 
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查看 本 计算 机 的 各 网 络 接口 IP 参数 组 配置 的 方法 是 : 在 Windows 界面 上 单 击 “开始 ” 
一 “程序 ”一 附件 ”一 “命令 提示 符 ”, 然 后 输入 命令 ipconfig /all。 读 者 可 捕获 自己 计算 机 端 
口 的 DHCP 的 数据 ,结合 第 7.1. 5 节 的 实例 进行 详细 分 析 。 


3.2.2 DHCP 协议 的 安全 问题 


正常 工作 情况 下 ,DHCP 协议 中 当 客 户 机 用 广播 方式 发 送 一 个 请 求 包 (DHCP request) 
申请 IP 地 址 ,而 服务 器 也 用 广播 方式 返回 一 个 应 答 包 (DHCP ACK) ,交易 便 结束 。 但 是 在 
DHCP 服务 端的 应 答 进 程 容易 受到 病毒 的 恶意 操控 ,例如 ,每 当 收 到 一 个 网 络 主机 的 
DHCP 广播 请 求 后 ,服务 器 会 突然 广播 发 送 大 量 的 DHCP ACK 响应 包 , 而 导致 本 地 网 络 阵 
发 性 地 阻塞 。 图 3. 12 为 以 太 网 中 DHCP 服务 器 广播 发 送 的 异常 大 量 的 DHCP ACK 数据 
包 的 案例 ,此 例 中 DHCP 服务 器 的 IP 地 址 是 222. 19. 237. 65 ,交易 ID 号 为 0xc3d96d8d。 
这 是 一 种 产生 于 本 地 以 太 网 内 的 利用 DHCP 协议 实施 的 DoS 拒绝 服务 攻击 案例 。 


Wireshark I0O Graphs: 异常 DHCP 服 务 器 响应 .pcap 


Filter; |bootp REzpression Clear Apply 


Jo Tine | Souree Protocol Info 
473 176.0 222.19.237.65 255.255.255.255 DHCP DHCP ACK =- Transaction ID Oxc3d96d8d 
474 176.0 222.19.237.65 255.255.255.255 DHCP DHCP ACK - Transaction ID Oxc3d96d8d 
475 176.0 222.19.237.65 255.255.255.255 DHCP DHCP ACK - Transaction ID 0xc3d96d8d 
476 176.0 222.19.237.65 255.255.255.255 DHCP DHCP ACK - Transaction ID Oxc3d96d8d 
477 176.0. 222.19.237.65 255.255.255.255 DHCP DHCP ACK - Transaction ID Oxc3d96d8d 
478 176.0 222.19.237.65 255.255.255.255 DHCP DHCP ACK - Transaction ID 0xc3d96d8d 
479 176.0 222.19.237.65 255.255.255.255 DHCP DHCP ACK -~ Transaction ID Oxc3d96d8d 
480 176.0 222.19.237.65 255.255.255.255 。 DHCP DHCP ACK - Transaction ID Oxc3d96d8d 
481 176.0 222.19.237.65 255.255.255.255 。 DHCP DHCP ACK - Transaction ID 0xc3d96d8d 
482 176.0 222.19.237.65 255.255.255.255 DHCP DHCP ACK - Transaction ID Oxc3d96d8d 
483 176.1 222.19.237.65 255.255.255.255 DHCP DHCP ACK ~ Transaction ID Oxc3d96d8d 


图 3.12 DHCP 服务 器 广播 发 送 异 常 大 量 的 响应 包 造 成 局 域 网 内 阵 发 性 阻塞 


Destination 


3.3 地 址 解析 协议 ARP 及 其 安全 问题 


在 第 1 章 的 图 1. 16 互联 网 模型 与 OSI 参考 模型 中 指出 ,网 络 层 的 协议 有 5 个: 地 址 解 
析 协 议 (Address Resolution Protocol, ARP), 反 向 地 址 解析 协议 (Reverse Address 
Resolution Protocol,RARP) ,互联 网 协议 (Internet Protocol,IP) ,互联 网 控制 报 文 协 议 
(Internet Control Message Protocol, ICMP ) , 互联 网 群 组 管理 协议 (Internet Group 
Management Protocol,IGMP) ,如 图 3. 13 所 示 。 这 5 个 协议 中 , 反 向 地 址 解析 协议 RARP 
的 功能 是 建立 以 太 局 域 网 内 各 主机 的 MAC 地 址 与 IP 地 址 的 对 照 表 ,不 再 使 用 了 ,其 功能 
已 经 被 动态 主机 配置 协议 (Dynamic Host Configuration Protocol,DHCP) 所 取代 。 本 节 讨 
论 ARP 协议 及 其 安全 问题 。 


ee 


IGMP || ICMP 


互联 网 层 协议 ARP || RARP 


图 3.13 网 络 层 包括 5 个 协议 


由 于 以 太 局 域 网 内 工作 站 之 间 的 通信 是 根据 目的 和 源 端的 网 卡 的 MAC 地 址 进行 寻 址 
的 ,MAC 地 址 是 无 层次 的 平面 地 址 ,平面 地 址 只 适合 在 用 户 量 不 多 的 小 环境 中 使 用 。 类 似 
于 ,在 同一 个 班 的 教室 中 每 个 学 生 的 名 字 是 不 分 等 级 的 平面 地 址 , 若 要 寻找 某 个 学 生 , 可 在 
班 的 教室 中 广播 呼叫 其 姓名 ,每 个 学 生 都 听 到 呼叫 了 ,但 是 只 有 被 呼叫 名 字 的 学 生 给 出 响 
应 。 若 要 在 全 省 范围 内 广播 呼叫 某 个 学 生 的 名 字 , 那 是 很 难 找到 该 学 生 的 。 

而 互联 网 的 主机 之 间 的 通信 是 根据 目的 和 源 主机 的 IP 地 址 进行 寻 址 的 ,IP 地 址 是 分 
层次 等 级 的 地 址 ,分 层次 的 地 址 适合 于 在 大 用 户 量 的 广 域 范围 内 使 用 。 一 个 IP 地 址 中 包含 
了 网 络 ID . 子 网 ID 和 主机 ID 等 。 类 似 于 , 当 一 个 学 生 要 给 家 里 写 信 时 , 收 信 人 的 地 址 中 必 
须 包 含 : 省 的 名 称 、 市 县 的 名 称 、 街 道 名 称 和 门牌 号 码 ,然后 才 是 收 信人 的 名 字 。 只 有 使 用 
这 种 分 层次 的 地 址 才能 在 广域网 内 进行 通信 。 

现在 的 问题 是 ,如 何在 以 太 网 中 传输 IP 包 ? 因为 以 太 网 卡 只 认识 MAC 地 址 ,不 能 识 
别 IP 地 址 。 因 此 就 需要 在 每 台 计 算 机 的 以 太 网 卡 中 建立 一 个 本 地 网 络 中 邻居 的 MAC 地 
址 与 IP 地 址 的 对 照 表 , 即 ARP 表 。 如 果 一 台 计算 机 要 传输 一 个 IP 包 给 某 网 络 邻居 ,首先 
根据 IP 包 中 的 目的 IP 地 址 从 ARP 表 中 查 到 其 对 应 的 MAC 地 址 ,然后 将 IP 包 封装 到 一 
个 以 太 帧 中 发 送出 去 ,该 帧 的 目的 MAC 地 址 就 设 为 来 自 ARP 表 中 的 查询 结果 。 如 果 以 太 
网 计算 机 中 没有 ARP 表 , 那 么 它 就 不 能 传输 IP 包 ,就 不 能 访问 互联 网 。ARP 地 址 解析 协 
议 就 是 用 于 在 以 太 网 的 每 台 计 算 机 中 自动 生成 ARP 表 的 。 关 于 ARP 表 的 结构 和 分 析 参 
看 第 7.1.4 节 。 

当 一 台 计算 机 初次 接 入 以 太 网 时 ,可 自动 运行 DHCP 客户 端 协议 ,向 本 地 DHCP 服务 
器 申请 获取 分 配给 本 机 的 互联 网 IP 地址 、 本 地 网 关 的 IP 地 址 等 5 个 参数 。 但 是 计算 机 还 
必须 知道 本 地 网 关 的 MAC 地 址 才能 与 外 网 进行 通信 ,这 就 需要 启用 ARP 协议 来 获取 这 些 
本 地 网 邻居 的 IP 地 址 对 应 的 MAC 地 址 参数 。 

当 在 局 域 网 内 发 送 一 个 以 太 帧 给 目的 主机 或 路 由 器 时 ,是 通过 目的 MAC 地 址 进行 识 
别 的 ,关于 MAC 地 址 的 构成 与 分 类 在 前 面 以 太 网 帧 的 结构 部 分 已 经 讨论 过 。 通 常 制 造 商 
已 将 MAC 物理 地 址 固化 到 NIC 网 络 接口 卡 中 ,在 局 域 网 上 由 此 来 识别 链 路 上 的 每 台 设 备 。 
MAC 地 址 和 IP 地 址 是 以 太 网 和 互联 网 两 种 不 同 网 络 的 地 址 标志 。 主 机 的 IP 地 址 是 互联 
网 地 址 ,其 使 用 范围 是 全 球 性 的 ,互联 网 上 计算 机 之 间 的 通信 都 需要 用 IP 地 址 来 寻 址 。 而 
MAC 地 址 是 用 于 以 太 网 内 工作 站 的 寻 址 ,因此 当 来 自 互联 网 的 一 个 卫 包 通过 路 由 器 进入 
到 本 地 以 太 网 后 ,就 需要 将 目的 卫 地 址 对 照 映射 到 本 地 网 主机 的 MAC 地 址 ,才能 发 送 给 
目的 主机 。JIP 地 址 与 MAC 地 址 对 照 的 ARP 表 的 建立 有 两 种 方式 : 静态 地 址 映射 和 动态 
地 址 映射 。 


3.3.1 静态 ARP 地 址 映射 


静态 IP/MAC 地 址 映射 (Static Mapping) 是 手动 设置 一 个 本 地 网 络 内 的 MAC 地 址 和 
理光 


IP 地 址 的 对 照 表 , 它 存 储 在 局 域 网 的 每 一 台 主 机 和 路 由 器 中 。 当 一 台 主 机 要 发 送 IP 信息 ， 
但 它 只 知道 目的 主机 的 IP 地 址 ,就 从 自己 的 ARP 表 中 查询 到 目的 主机 的 MAC 地 址 ,然后 
将 IP 包 封装 在 以 此 MAC 为 目的 地 址 的 以 太 帧 中 发 送 到 以 太 网 上 。 在 以 太 网 安全 管理 方 
面 ,采用 静态 地 址 映射 能 够 防止 ARP 的 欺骗 攻击 ,因此 较为 安全 可 靠 。 但 是 当 一 台 主 机 更 
换 网 卡 时 ,或 者 当 一 台 笔记 本 主机 频繁 地 变换 接 入 网 络 的 位 置 时 ,将 导致 该 主机 内 ARP 表 
中 的 MAC 地 址 和 IP 地 址 映射 关系 的 经 常 改变 。 因 此 静态 映射 的 ARP 表 适 用 于 以 太 网 内 
的 固定 计算 机 和 路 由 器 等 使 用 。 参 看 网 络 计 算 机 的 IP 地 址 手动 设置 方法 。 


3.3.2 动态 ARP 地 址 查询 


动态 IP/MAC 地 址 映射 (Dynamic Mapping) 利 用 ARP 协议 在 以 太 网 计算 机 中 自动 建 
立 ARP 表 。 其 工作 过 程 如 图 3. 14 所 示 。 


主机 B 


(b) 单 播 ARPH 向 应 
图 3.14 地 址 解析 协议 ARP 的 工作 过 程 


(1) 当 以 太 网 上 有 一 台 主 机 A(IP 地 址 192. 168. 8. 1, MAC 地 址 00: 06: 5b: 04: b7: 58) 
只 知道 目的 主机 B 的 IP 地 址 (UP 地 址 192.168.8.97) 而 不 知道 它 的 MAC 地 址 时 ,主机 A 
就 在 以 太 网 上 广播 一 个 ARP 查询 包 , 要 求 具有 此 IP 地 址 的 主机 收 到 此 广播 包 后 进行 单 播 
应 答 ,将 自己 的 MAC 地 址 告诉 主机 A。 主 机 A 发 送 的 广播 查询 包 中 含 自己 的 MAC 地 址 
和 IP 地 址 以 及 被 查询 方 的 IP 地 址 。 此 时 主机 A 还 不 知道 主机 B 的 物理 地 址 ,就 将 以 太 帧 
头 部 中 的 目的 MAC 地 址 设 为 以 太 网 的 广播 地 址 ff: ff:ff; 纤 :ff 全。 而 将 ARP 包 中 的 目标 
MAC 地 址 设 为 00:00:00:00:00:00。 参 看 下 面 以 太 帧 和 ARP 包 的 结构 。 

(2) 以 太 网 上 的 所 有 主机 都 收 到 了 主机 A 的 广播 查询 帧 ,但 是 大 多 数 主 机 发 现 其 中 的 
目的 IP 地 址 与 自己 不 符 , 就 将 该 帧 抛弃 ,不 予 理 会 。 只 有 主机 也 发 现 自己 的 IP 地 址 符合 查 
询 目 标 ,于 是 主机 B 就 利用 查询 帧 中 的 主机 A 的 MAC 地 址 向 它 返回 一 个 单 播 响应 帧 ,将 
自己 的 MAC 地 址 告诉 主机 A。 

(3) 主机 A 收 到 响应 后 ,就 将 主机 B 的 MAC 地 址 和 IP 地 址 填 人 自己 的 ARP 表 中 。 
以 备查 询 。 
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如 果 主 机 A 是 本 地 网 络 的 出 口 网 关 , 负 责 局 域 网 内 全 体 主机 对 外 通信 的 转发 ,就 需要 
了 解 本 网 络 内 所 有 主机 的 MAC 地 址 和 IP 地 址 ,以 建立 最 完备 的 本 网 ARP 表 , 它 就 按照 网 
络 内 的 IP 地 址 范围 顺序 逐一 广播 查询 。 网 关 有 两 个 网 络 接口 分 别 连 接 内 网 和 外 网 ,在 每 个 
以 太 网 接口 上 都 要 生成 一 个 该 接口 的 ARP 表 。 

如 果 主 机 A 只 是 局 域 网 内 的 一 台 普 通 计算 机 ,不 需要 与 网 内 邻居 通信 ,但 必须 知道 出 
口 网 关 的 IP/MAC 地 址 ,因此 每 台 以 太 网 主机 的 ARP 表 中 至 少 要 有 一 项 ,这 就 是 本 地 网 关 
的 IP/MAC 地 址 信息 。 

参看 第 7. 1 节 的 操作 方法 ,查询 以 太 网 主机 的 ARP 表 的 方法 是 单 击 计算 机 Windows 
界面 中 的 “开始 ”程序 ”一 附件 ”命令 提示 符 ”, 然 后 在 命令 提示 符 界 面 上 输入 arp -a， 
例如 : 


C:\Documents and Settings\Administrator> arp -a 
Interface: 192.168.8.1---0x10004 

Internet Address Physical Rddress Type 
192 .168.8.97 00-15-e9-0e-al-74 dynamic 


此 ARP 表 的 含义 是 : 在 本 计算 机 的 第 0x10004 号 网 络 接 口上 的 PP 地址 是 192. 168. 8. 1 。 
本 地 网 中 有 一 台 IP 地 址 为 192. 168. 8. 97 的 计算 机 的 物理 地 址 是 00-15-e9-0e-al-74, 此 IP/ 
MAC 映射 属于 动态 配置 关系 。 

1. ARP 数据 包 在 以 太 帧 中 的 封装 位 置 

从 图 1.15 中 可 看 出 ,ARP 协议 位 于 数据 链 路 层 上 方 。 根 据 上 层 协 议 数据 被 依次 封装 
到 下 层 协 议 包 中 的 原则 ,总 长 为 28B 的 ARP 包 被 直接 封装 入 以 太 帧 的 数据 与 填充 字段 内 ， 
如 图 3.15 所 示 。 


字 节 数 : 7 1 6 6 p32 4 
前 导 符 | 帧 开始 定 界 符 [目的 物理 地 址 源 物理 地 址 ”类 型 0806 ARP 请 求 或 响应 | CRC | 
J 和 0 次 甸 40101014 L 以 太 网 帧 (类 型 字段 ARP 为 0806) J 


图 3.15 ARP 包 被 直接 封装 到 以 太 帧 内 


注意 ,封装 了 ARP 包 的 以 太 帧 中 可 不 用 CRC 校 验 码 ,因此 总 长 只 有 42B, 有 些 计 算 机 
就 将 此 以 太 帧 发 送 到 以 太 网 上 了 。 而 有 些 计 算 机 则 再 加 入 18B 的 0 作为 填充 (Trailer) ,使 
以 太 帧 总 长 达到 60B。 因 此 在 以 太 网 数据 中 会 发 现存 在 长 度 为 42B 和 60B 的 两 种 封装 
ARP 的 以 太 帧 。 按 标准 以 太 网 的 规定 ,以 太 帧 不 得 短 于 64B, 但 在 ARP 的 应 用 中 例外 。 

2. ARP 查询 包 与 应 答 包 的 结构 

ARP 协议 的 查询 请 求 包 与 应 答 响 应 包 的 结构 相同 。 将 ARP 包 数 据 按 内 容 分 成 若干 段 
后 , 逐 段 排列 起 来 就 得 到 如 图 3. 16 所 示 的 ARP 包 的 结构 图 。 第 一 字段 为 硬件 类 型 ， 
0x0001 说 明 这 是 以 太 网 。 第 二 字段 是 协议 类 型 .0x0800 说 明 这 是 IPv4 协议 。 第 三 字段 是 
硬件 尺寸 ,0x06 说 明 以 太 网 MAC 地 址 长 6B。 第 四 字段 是 协议 尺寸 ,0x04 说 明 IPv4 地 址 
长 4B。 第 五 字段 是 操作 代码 ,0x0001 说 明 这 是 ARP 查询 请 求 包 ,0x0002 说 明 这 是 ARP 应 
答 包 。 第 六 字段 是 发 送 方 的 MAC 地 址 。 第 七 字段 是 发 送 方 的 IP 地 址 。 第 八字 段 是 目标 
MAC 地 址 ,在 查询 包 中 还 不 知道 目标 MAC 地 址 ,就 填 人 00:00:00:00:00:00。 第 九 字 
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段 是 目标 卫 地 址 。 详 见 图 3. 17 和 图 3. 3 中 真实 的 以 太 网 捕获 数据 ,其 中 内 容 顺序 与 图 3. 16 
的 ARP 包 结构 完全 一 致 。 


Hardware type(16 位 ， 以 太 网 : 0x0001) Protocoltype (16 位 ，IPv4 协 议 ， 0x0800) 
Hardware size (以 太 网 :0x16)| Protocol size (IPv4: 0x04) | 操作 代码 (ARP 请 求 : 0x0001，ARP 响 应 : 0x0002) 
发 送 方 MAC 地 址 (6B) 发 送 方 IJP 地 址 (IP 地 址 4B) 
目标 MAC 地 址 (6B) 目标 IP 地 址 (4B) 


图 3.16 地 址 解析 协议 ARP 的 数据 包 结构 图 


Ethernert 11, Src: ViaNetwo 47:6e: :12:7b:47:6e:a3), Dst: Broadcast TFTFTFTTS 
日 Address Resolution Protocol (request) 
Hardware type: Ethernet (0x0001) 
Protocol] type: IP (0x0800) 
Hardware size: 6 
Protocol size: 4 
opcode: request (0x0001) 
[rs gratuitous: False] 
Sender MAC address: ViaNerwo_47:6e:a3 (00:12:7b:47:6e:a3) 
Sender IP address: 192.168.0.163 (192.168.0.163) 
Target MAC address: 00 )_00:00:00 (00:00:00:00:00:00) 
Tarqet IP address: 192.168.0.1 (192.168.0.1) 


D010 0 0 0 01 00 12 7 be a3 CO ag 90 a3 ve， Gn 


lo020 00 00 00 00 00 00 c0a8 000 .......:.. 


图 3.17 利用 Wireshark 捕获 到 的 一 个 ARP 广播 查询 包 的 内 容 


在 图 3. 3 中 给 出 了 利用 Wireshark 捕获 到 的 一 个 以 太 帧 的 数据 , 它 的 载荷 中 封装 的 是 
ARP 广播 查询 包 。 图 3. 17 是 将 此 ARP 广播 查询 包 中 的 数据 展开 后 的 内 容 。 在 图 3. 3 中 
已 经 分 析 了 第 0x0000 一 0x000d 字 节 是 以 太 帧 的 头 部 数据 (对 应 于 图 3. 17 中 的 深 色 部 分 ) 。 
下 面 按照 图 3. 16 的 ARP 结构 图 继续 解读 图 3. 17 下 窗口 中 第 0x000e 字 节 以 后 的 数据 内 
容 ,注意 左 1 列 是 右 首 字 节 的 序号 。ARP 包 各 字段 代表 的 信息 依次 是 : 

第 0x000e~0x000f 号 字 节 是 0x00 01 ,表示 Hardware type 是 Ethernet 。 

第 0x0010 一 0x0011 字 节 是 08 00, 表 示 Protocol type 是 IPv4。 

第 0x0012 字 节 是 06 ,表示 Hardware size 是 6 字 节 。 

第 0x0013 字 节 是 04, 表 示 Protocol size 是 4 字 节 。 

第 0x0014 一 0x0015 字 节 是 00 01, 表 示 操 作 代 码 , 这 是 ARP 请 求 。 

第 0x0016 一 0x001b 字 节 是 00 12 7b 47 6e a3, 是 发 送 方 的 MAC 地址。 

第 0x001c~0x001f 字 节 是 c0 a8 00 a3 ,是 十 六 进 制 数 表示 的 发 送 方 卫 地址 192. 168. 
0. 163 。 

第 0x0020~0x0025 字 节 是 00 00 00 00 00 00 ,是 目标 MAC 地 址 。 

第 0x0026 一 0x0029 字 节 是 c0 a8 00 01, 是 十 六 进 制 数 表示 的 目标 全 地 址 192. 168.0. 1 。 

通过 图 3. 3 和 图 3.17 的 真实 网 络 中 以 太 帧 封装 传输 ARP 广播 查询 包 的 详尽 分 析 , 演 
示 了 在 图 1. 15 的 互联 网 协议 关系 模型 中 ,上 层 协 议 数据 是 如 何 封装 在 下 层 协 议 包 中 传输 
的 。 建 议 读者 按照 同样 的 分 析 方 法 ,利用 Wireshark 捕获 与 分 析 自 己 网 络 计算 机 上 的 ARP 
查询 包 和 响应 包 中 的 内 容 。 


3.3.3 ARP 诱骗 的 原理 与 防御 


ARP 表 是 用 于 在 以 太 网 中 传输 IP 包 时 必 不 可 少 的 IP/MAC 地 址 对 照 查询 工具 ,如 果 
。 80 。 


以 太 网 主机 中 的 ARP 表 内 容 不 全 或 者 有 误 , 就 会 导致 不 能 向 目的 主机 发 送 IP 包 , 或 者 将 
IP 包 发 送 给 错误 的 接收 者 。 

从 上 述 ARP 协议 自动 生成 ARP 表 的 过 程 可 看 出 ,ARP 协议 的 安全 漏洞 是 对 应 答 者 缺 
乏 身 份 认 证 的 机 制 。 参 看 图 3. 14 的 ARP 协议 工作 原理 图 。 正 常 工作 时 ,主机 A 只 知道 主 
机 B 的 IP 地址 而 不 知道 其 MAC 地 址 ,就 广播 发 送 ARP 查询 帧 , 收 到 主机 B 的 ARP 单 播 
应 答 帧 后 ,A 对 应 答 者 B 不 进行 身份 认证 ,就 将 应 答 的 IP/MAC 地 址 信息 填 入 自己 的 ARP 
表 中 。 如 果 以 太 网 中 有 一 台 恶 意 主 机 C 也 同时 收 到 了 主机 A 的 广播 查询 , 抢 在 主机 B 发 回 
应 答 之 前 ,就 先 将 自己 的 MAC 地 址 配 上 主机 也 的 IP 地 址 告诉 主机 A。 结 果 , 在 主机 A 的 
ARP 表 中 主机 B 的 IP 地址 就 对 应 了 恶意 主机 C 的 MAC 地 址 , 当 A 要 给 B 发 送 IP 包 时 却 
被 发 送 到 C 的 以 太 网 卡 上 ,这 就 是 产生 ARP 欺骗 的 过 程 。 
因为 每 一 轮 ARP 表 更 新 的 时 间 间 隔 较 长 ,如果 主机 A 发 出 一 个 ARP 广播 查询 包 后 ， 
短 时 间 内 收 到 了 多 个 不 同 的 ARP 应 答 包 ,那么 主机 A 只 采用 最 先 收 到 的 应 答 包 的 内 容 , 而 
不 理会 后 续 的 应 答 包 。 受 骗 的 主机 A 要 等 到 进行 下 一 轮 ARP 表 更 新 时 才 有 更 正 的 可 能 。 
利用 ARP 欺骗 可 以 进行 如 下 恶意 行为 。 

1. 诱骗 算 改 网 关内 的 ARP 表 

参看 图 3. 18 所 示 的 真实 案例 。 利 用 上 述 ARP 诱骗 的 方法 ,网 关 G 的 ARP 表 中 主机 
A 的 IP 地 址 被 诱骗 算 改 为 对 应 恶意 主机 B 的 MAC 地址。 主机 A 和 恶意 主机 也 内 的 ARP 
表 都 是 正确 的 。 操 作 过 程 如 下 : 第 1 步 : 主机 A 向 外 网 的 Web 服务 器 请 求 获 取 网 页 ,此 请 
求 包 被 正确 地 发 送 给 网 关 G ,并 通过 网 关 转 发 给 Web 服务 器 。 第 2 步 : Web 服务 器 将 网 页 
发 给 主机 A 的 IP 地址。 第 3 步 : 网 关 G 收 到 网 页 进行 转发 时 ,查询 自己 的 ARP 表 中 主机 
A 的 IP 地 址 对 应 的 MAC 地 址 ,网 关 G 并 不 知道 自己 ARP 表 的 错误 ,结果 将 网 页 封装 到 以 
太 帧 中 传 到 恶意 主机 B 的 MAC 地址 上 。 第 4 步 : 恶意 主机 B 收 到 网 页 后 ,在 网 页 中 插入 
广告 ,木马 或 病毒 ,再 发 给 受害 主机 A。 有 一 些 黑客 软件 可 方便 地 利用 此 类 ARP 欺骗 手段 
在 以 太 网 内 实施 中 间 人 攻击 ,参见 第 11 章 图 11.2。 

2. 诱骗 算 改 网 内 主机 的 ARP 表 

与 图 3. 18 类 似 的 攻击 方法 是 诱骗 自 改 以 太 网 内 主机 A 的 ARP 表 , 让 该 表 中 网 关 的 IP 
地 址 对 应 为 恶意 主机 B 的 MAC 地 址 。 假 设 主 机 A 发 送 电 子 邮 件 到 外 网 的 服务 器 ,那么 所 
有 本 应 发 给 网 关 G 的 MAC 地 址 的 IP 包 , 却 被 错误 地 发 到 恶意 主机 也 的 MAC 地址 上 。 主 
机 BB 截获 了 主机 A 的 外 发 信息 ,进行 复制 或 自 改 后 再 发 给 网 关 G, 再 由 网 关 G 转发 给 外 网 
的 服务 器 。 这 类 方法 可 造成 隐私 信息 的 泄露 与 恶意 算 改 。 

上 述 两 种 ARP 诱骗 的 过 程 都 产生 于 受害 主机 A( 窜 户 端 ) 所 在 的 以 太 网 内 ,受害 者 只 是 
局 域 网 内 的 少量 主机 。 同 样 的 ARP 欺骗 也 可 在 Web 服务 器 所 在 的 以 太 网 内 实施 ,可 实现 
对 Web 服务 器 向 公 网 发 送 的 所 有 网 页 的 自 改 。 注 意 , 此 类 网 页 内 容 的 算 改 并 没有 发 生 在 
Web 服务 器 内 部 ,而 是 发 生 在 IP 包 经 过 以 太 网 传输 的 途中 。 这 些 恶 意 行为 属于 “中 间 人 攻 
击 ”, 中 间 人 就 是 恶意 主机 B, 它 将 主机 A 与 外 网 服务 器 的 双向 通信 中 的 一 个 方向 的 信息 截 
获 或 算 改 ,而 不 干扰 另 一 方向 传输 的 信息 ,参看 第 11 章 。 

3. 操控 ARP 产生 广播 风暴 阻塞 网 络 

由 于 以 太 网 内 计算 机 的 数量 和 位 置 的 动态 变化 .正常 情况 下 每 台 计 算 机 内 的 ARP 表 
都 要 定期 更 新 ,每 一 轮 更 新 的 时 间 间 隔 在 几 分 钟 至 几 十 分 钟 不 等 。 如 果 ARP 表 的 更 新 机 

。8]1 。 


受害 主机 A 的 ARP 表 
IP 地 址 MAC 地 址 Web 服 务 器 域名 netsecurity.ynu.edu.cn 
网 关 : 202.203.44.1 00-d0-2b-e5-1d-0a IP 地 址 202.203.208.112 


受害 主机 A 
JP 地址: 202.203.44.112 

MAC 地 址 : 00-00-E2-5B-D4-61 
- 第 1 步 : 主机 A 向 Web 
服务 器 请 求 获取 网 页 


第 2 步 ， Web 服务 器 将 网 
页 发 给 主机 A 的 IP 地 址 


IP 地 址 : 202.203.44.1 
第 3 步 : 网 关 将 网 页 MAC 地 址 : 00-d0-2b-e5-1d-0a 


发 到 恶意 主机 B 的 网 关 G 的 ARP 表 被 主机 B 欺 骗 了 
MAC 地 址 IP MAC 


页 加 入 广告 或 木马 
E 机 A 


A 机 : 202.203.44.112 00: 02: e3:3f: a6: 9a 


, 恶意 主机 8 的 ARP 雪 
恶意 主机 B 的 MAC 地 址 IP 地 址 MAC 地 址 
00: 02: e3:3f a6: 9a 。 | 受害 A 202.203.44.112 00-00-E2-5B-D4-61 
网 关 : 202.203.44.1 00-d0-2b-e5-1d-0a 


图 3.18 利用 ARP 诱骗 算 改 网 关 的 ARP 表 案 例 


制 被 恶意 利用 ,例如 , 当 以 太 网 内 很 多 计算 机 的 ARP 进程 受到 恶意 软件 的 控制 ,在 某 时 间 
段 内 同时 异常 地 向 以 太 网 内 大 量 发 送 ARP 广播 查询 包 , 这 就 形成 了 ARP 的 广播 风暴 , 导 
致 网 络 信道 阻塞 ,造成 以 太 网 的 阵 发 性 瘫 病 。 这 就 是 拒绝 服务 攻击 (denial of service 
attack ,DoS) 的 方法 之 一 ,参看 第 11 章 图 11. 2(d) 。 

4. ARP 欺骗 的 防御 方法 

虽然 ARP 协议 在 机 制 方面 存在 缺陷 而 导致 了 上 述 恶 意 行为 的 产生 ,但 是 由 于 其 在 以 
太 网 配置 和 管理 中 的 方便 和 灵活 ,得 到 广泛 应 用 。 对 上 述 ARP 欺骗 等 网 络 恶 意 行为 的 防 
范 措施 有 如 下 几 种 : 

(1) 定时 检查 本 机 内 ARP 表 的 内 容 , 是 否 受 到 频繁 更 动 。(2) 禁 止 本 机 向 外 发 送 虚假 
的 ARP 响应 包 。(3) 如 果 对 同一 个 IP 地址 的 广播 查询 包 , 收 到 多 个 响应 包 , 且 其 中 的 MAC 
地 址 不 同 , 则 发 出 报警 。(4) 对 于 以 太 网 内 的 重要 主机 、 服 务 器 和 网 关 等 采用 静态 的 IP/ 
MAC 地 址 绑 定 。(5) 加 强 防火 墙 和 杀毒 软件 的 配置 ,及 时 清除 与 防范 操控 ARP 协议 的 恶 
意 软件 的 入 侵 。(6) 实 时 监测 以 太 网 内 的 ARP 广播 流量 ,对 数据 取样 分 析 , 对 有 异常 ARP 
行为 的 主机 进行 定位 与 跟踪 清查 。 


3.4 ”基于 无 源 光纤 网 的 千 兆 以 太 网 EPON 


基于 无 源 光纤 网 络 的 千 兆 以 太 网 (Ethernet Over Passive Optical Network, EPON) 是 

最 近 几 年 发 展 成 熟 并 得 到 迅速 推广 应 用 的 一 种 千 兆 以 太 网 技术 , 它 利 用 了 低 成 本 的 无 源 光 

纤 网 络 (PON) 作 为 传输 媒介 ,与 光纤 粗 波 分 复 用 (CWDMD) 技 术 结合 ,在 成 熟 的 以 太 网 技术 

上 仅 做 少量 改动 ,就 构成 了 一 个 光纤 传输 距离 为 20km 以 内 的 千 兆 以 太 网 (EPON)。 它 可 

通过 ONU 设备 与 远 端 大 楼 的 以 太 网 完美 对 接 . 实 现 光纤 到 大 楼 (Fiber To The Building， 

FTTB) ,也 可 与 家 庭 用 户 的 以 太 网 对 接 实现 光纤 到 户 (Fiber To The Home,FTTH)。 当 超 
二 


长 距离 联网 时 ,可 与 基于 SDH 的 多 业务 传输 平台 CMSTP) 对 接 ,来 构成 以 太 广域网 。 
EPON 网 络 的 建设 成 本 、 运 维 成 本 都 很 低 .各 ONU 的 流量 可 在 1Gbps 以 内 动态 分 配 共 享 。 
EPON 不 需要 除 以 太 网 外 的 其 他 复杂 协议 ,与 相关 技术 结合 可 用 于 大 中 型 企业 和 城市 的 高 
清晰 视频 监控 传输 ,融合 数据 、 音 视频 、 互 联网 的 三 网 合 一 应 用 。 


3.4.1 EPON 的 网 络 结构 


图 3. 19 是 一 个 EPON 网 络 的 典型 结构 ,EPON 网 络 可 分 为 3 个 部 分 : 光线 路 终端 
(Optical Line Terminal, OLT) ,无 源 光 网 络 (Passive Optical Network,PON) , 光 网 络 单元 
(Optical Network Unit,ONU ) 。 


无 源 光 分 路 器 4~120 个 用 户 共用 一 个 ONU 
PON ONU 


学 以 太 网 交换 机 
I 


5 双 绞 线 
光 PON OLT | 光纤 分 配 网 
网 绞 纪 
交换 中 心 PON ONU 到 二 


图 3. 19 基于 无 源 光 网 络 的 千 兆 以 太 网 EPON 


1. 光线 路 终端 (OLT) 

它 位 于 EPON 网 络 交换 中 心 ,是 整个 EPON 网 络 的 核心 设备 ,有 4 个 或 多 个 光 接 口 与 
单 芯 光 纤 分 配 网 衔接 ,用 1510nm 波长 的 光 载 波 向 网 络 内 的 所 有 ONU 广播 发 送 下 行 以 太 
帧 (每 个 ONTU 按 以 太 帧 中 的 目的 MAC 地 址 选 收 ) ,并 接收 每 个 ONU 用 1310nm 的 光 载 波 
按 指定 时 隙 发 送 的 上 行 以 太 帧 COLT 按照 指定 的 时 隙 区 分 用 户 上 传 的 数据 )。 在 实际 中 , 通 
常 是 在 以 太 网 核心 交换 机 上 增加 一 块 PON OLT 业务 电路 板 构成 。 

在 交换 中 心 的 OLT 可 对 远 端 的 ONU 实现 如 下 管理 功能 : 对 全 网 内 的 用 户 计 算 机 进 
行 虚拟 局 域 网 的 划分 、 使 下 行 发 送 的 以 太 帧 让 指定 的 VLAN 用 户 组 集体 接收 、 检 测 远 端 
ONTU 的 型 号 和 MAC 地址 \ 信 和 号 往返 传输 时 间 RTT 值 测量 、 端 口 名 称 、 硬 件 和 软件 版 本 、 主 
机 类 型 和 工作 状态 等 。OLT 接 入 互联 网 的 方式 如 图 3. 19 所 示 。 

2. 无 源 光纤 网 络 (PON) 

由 一 芯 单 模 光 纤 连 接 一 个 或 多 个 无 源 光 功率 分 支 器 构成 树枝 形 传输 网 络 ,在 单 芯 光 纤 
中 采用 2 或 3 个 相互 间隔 较 大 的 光 载 波 进行 双向 传输 , 即 粗 波 分 复 用 (CWDM) ,以 构成 一 
个 OLT 与 多 个 ONU 之 间 分 布 式 的 光纤 双向 传输 通道 。PON 传输 的 光 载 波 有 1310nm、 
1510nm、1550nm 等 ,因为 这 几 个 波长 的 光 器 件 已 经 很 成 熟 ,. 且 价格 低廉 。 整 个 光 传 输 分配 
网 都 是 无 源 器 件 构成 ,不 需 供 电 ,稳定 可 靠 。 

3. 光 网 络 单元 (ONU) 

ONU 是 EPON 网 络 用 户 端 的 设备 ,接收 从 OLT 用 1510nm 光 载 波 广播 发 送 的 下 行 数 
据 流 ,根据 目的 MAC 地 址 取出 发 给 本 机 的 以 太 帧 ,同时 用 1310nm 光 载 波 将 用 户 的 上 行 以 
太 帧 按照 指定 的 时 阶 上 传 给 OLT, 以 避免 多 个 ONU 发 送 的 信号 在 光纤 总 线 上 冲突 。 实 际 
设备 是 在 用 户 端的 以 太 网 交换 机 上 增加 一 块 ONU 业务 电路 板 构 成 。ONU 业务 板 有 不 同 
类 型 ,可 配 在 用 户 端的 以 太 网 交换 机 ,或 以 太 网 视频 编码 器 及 语音 模块 中 ,为 用 户 提供 数据 、 
电话 和 视频 等 业务 接口 。ONU 与 局 域 网 用 户 计算 机 可 用 双 绞 线 以 太 网 连接 。 
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位 于 用 户 端的 具有 ONU 功能 的 以 太 网 交换 机 的 配置 功能 有 : 配置 ONU 端口 和 ONU 
的 MAC 地 址 的 绑 定 ;配置 动态 带宽 分 配 (Dynamic Bandwidth Allocation ,DBA) 算法 和 
ONU 的 上 行 带宽 (传输 到 OLT 的 一 个 光 端 口 的 所 有 ONU 的 上 行 带宽 总 和 不 能 大 于 
921. 6Mbps); 配 置 OLT 对 ONU 的 下 行 或 上 下 行 数据 流量 的 加 密 ;配置 组 播 数据 过 滤 ， 
ONU 的 注册 和 重启 , 链 路 测试 ;配置 ONU 的 身份 认证 鉴 权 方式 (可 采用 本 地 的 CHAP 认 
证 . 远 端 的 EAP 认证 .802. 1x 认 证 等 ) ,更 新 ONU 软件 ,远程 为 ONU 配置 802. 1x 认证 的 
账号 和 密码 ,显示 ONU 远 端 管理 配置 的 相关 信息 等 。 


3.4.2 EPON 的 工作 原理 


EPON 网 络 传输 的 是 以 太 帧 ,因此 十 分 容易 与 现 有 以 太 网 设备 对 接 ,不 存在 协议 转换 
问题 。 从 OLT 到 ONU 下 行 采用 总 线 广播 方式 传输 以 太 帧 ,类 似 早期 共享 同 轴 电 缆 的 标准 
以 太 网 的 广播 方式 ,而 从 ONU 到 OLT 上 行 传输 以 太 帧 的 方式 采用 时 分 多 址 接 入 TDMA 
的 技术 ,因此 取消 了 CSMA/CD 的 机 制 。 

1. OLT 向 ONU 广播 传输 的 EPON 下 行 帧 的 结构 

如 图 3. 20 所 示 , 从 OLT 下 行 传输 到 各 ONU 的 数据 采用 1510nm 的 光 载 波 调制 传输 。 
发 给 每 个 ONU 的 以 太 帧 是 标准 的 64 一 1518 字 节 可 变 长 度 , 采 用 随机 争 用 方式 占用 广播 总 
信道 ,通过 无 源 光 分 路 器 传输 到 每 个 ONU。 每 个 ONU 用 自己 的 MAC 地 址 与 总 线 以 太 帧 


中 的 目的 MAC 地 址 匹配 来 提取 发 给 自己 的 以 太 帧 。 

下 行 光波 长 1510nm | 网 网 四 1 

发 给 每 个 ONU 的 可 变 长 以 太 帧 ONU, 一 
随机 占用 公共 广播 信道 

OL 1 | 去 LT Talad] i 本 | 号 
光 分 路 器 每 个 ONU 根 据 自 己 的 
MAC 地 址 接收 以 大 帧 

1 ][2]:…[ 用 
ONU， 一 


图 3.20 EPON 网 络 中 下 行 传 给 各 ONU 的 以 太 帧 无 碰撞 地 随机 占用 总 线 


在 EPON 网 络 中 ,OLT 还 需要 向 所 有 网 内 ONU 传输 同步 时 钟 信息 ,因此 在 图 3. 20 中 
下 行 广播 的 不 同 长 度 的 以 太 帧 流 中 每 隔 2ms 要 插入 一 段 同步 时 钟 信 息 ,这 就 构成 EPON 下 
行 帧 ,含有 同步 标识 符 的 时 钟 信息 位 于 每 个 EPON 下 行 帧 的 开头 ,用 于 ONU 与 OLT 的 同 
步 ,如 图 3.21 所 示 。 因 此 EPON 下 行 帧 采用 的 是 定 长 时 分 复 用 TDM 方式 , 帧 流 是 从 不 间 
断 的 。 而 每 个 EPON 下 行 帧 中 可 随机 容纳 多 个 可 变 长 的 发 给 各 ONU 的 以 太 帧 。EPON 的 


2ms 2ms 
-= -i | 


1 N 下 由 过 | v | 3 es 


同步 标识 符 以 太 帧 同步 标识 符 


EPON 下 行 帧 周期 2ms 误 码 检测 域 | | 净 荷 | 以 大 Wi 
内 含 发 给 各 ONU 的 以 太 帧 CRC 。 卡 大 可 本 


图 3.21 OLT 广播 传输 的 EPON 下 行 帧 的 结构 
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电 / 光 信号 转换 采用 8B/10B 编码 ( 见 表 3. 4), 因 此 下 行 光 脉冲 速率 为 1.25Gbps, 每 个 
EPON 下 行 帧 含有 1. 25GbpsX2ms 王 2. 5Mbit, 扣 除 光 / 电 的 编码 转换 效率 ,以 及 同步 时 钟 
占用 的 bit, 一 个 EPON 下 行 帧 中 可 随机 容纳 传输 大 量 的 动态 变化 的 给 各 ONU 的 以 太 帧 
(每 个 以 太 帧 长 度 为 64 一 1518 字 节 ) 。 

2. EPON 上 行 帧 由 各 ONU 在 指定 时 隙 发 送 的 以 太 帧 组 成 

不 同 厂商 的 EPON 设备 有 所 不 同 。 例 如 : 一 台 OLT 可 配置 4 个 光纤 接口 ,每 个 光纤 接 
口 可 通过 树枝 形 的 光纤 分 配 网 连接 远 端 32 个 ONU ,每 个 ONU 可 连接 一 个 有 4 一 120 个 计 
算 机 用 户 的 本 地 以 太 网 交换 机 。 从 ONU 上 行 发 送 给 OLT 的 数据 采用 1310nm 的 光 载 波 
调制 传输 ,每 个 ONU 只 能 在 分 配给 它 的 EPON 帧 中 一 个 指定 的 时 隙 内 发 送 数据 ,这 样 就 可 
以 避免 来 自 不 同 ONU 的 上 行 光 信 号 在 光纤 总 线 上 产生 冲突 。 因 此 EPON 上 行 数 据 的 传输 
采用 时 分 多 址 接 人 (Time Division Multiple Access,TDMA) 的 方式 工作 。 分 配给 每 个 
ONU 的 时 隙 中 可 容纳 上 传 多 个 可 变 长 以 太 帧 ,每 个 以 太 帧 中 封装 了 本 地 网 内 计算 机 的 上 
传 数据 。 每 个 ONU 的 上 行 带 宽 是 可 分 配 的 ,但 是 所 有 ONU 的 上 行 带宽 总 和 不 能 大 于 
921. 6Mbps, 参 看 图 3. 22 和 图 3. 23。 


EPON 上 行 帧 | 


| 
区 全 机 第 3 个 ONU 的 时 了 可 
3 3 容纳 多 个 以 太 帧 


以 太 帧 头 部 | [ 净 荷 | | CRC 误 码 检测 域 
长 度 可 变 (64~1518B) 


图 3.22 EPON 的 上 行 采用 时 分 多 路 接 入 的 方式 汇聚 传输 各 ONU 的 数据 


N 个 时 阶 N 个 时 隙 。 |-。 帧 长 2ms 。| 
在 2|L 3 a Fa i i We a 
这 六 | 沁 1 1 ONU 

芝 有 六 ONU; 
a 
el 3 3 3 ONU; 
发 N N N| ONU， 

EPON 上 行 帧 
112[3]…[N|1 2|3|…[N|11213|…|N|… 合 路 信号 


图 3.23 每 个 ONU 分 别 在 指定 的 时 隙 内 发 送 上 行 信号 汇聚 成 EPON 上 行 帧 


3. EPON 的 关键 技术 

EPON 技术 是 在 十 分 成 熟 的 以 太 网 技术 上 仅 做 了 一 定 的 补充 ,无 源 光 纤 网 络 (PON) 传 
输 的 是 完整 的 以 太 帧 ,并 在 每 隔 2ms 的 以 太 帧 流 中 插入 时 钟 同步 信息 ,因此 从 EPON 上 取 
出 和 送 入 的 以 太 帧 可 以 直接 接 入 以 太 网 交换 机 。 从 设备 结构 上 来 说 ,一 般 是 采用 在 以 太 网 
交换 机 的 基础 上 增加 OLT 或 ONU 业务 板 卡 来 实现 。 在 实现 上 述 信 号 处 理 过 程 中 的 关键 
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技术 主要 集中 在 OLT 的 板 卡 上 ,而 尽量 使 用 户 端的 ONU 的 复杂 度 降低 。 

OLT 与 ONU 间 属 于 点 对 多 点 的 连接 ,上 行 和 下 行 信号 传输 使 用 不 同 波长 的 光 载 波 。 
由 于 光 分 路 器 没有 选 路 功能 ,OLT 将 下 行 以 太 帧 流 组 成 时 分 复 用 的 复 帧 ,以 广播 方式 发 送 
到 每 一 个 ONU ,ONU 从 下 行 比特 流 中 取出 时 钟 同步 信号 ,然后 根据 以 太 帧 中 的 目的 MAC 
地 址 取出 给 自己 的 以 太 帧 。 在 上 行 传输 中 ,由 于 共用 一 个 光 信 道 ,ONU 之 间 采 用 时 分 多 址 
接 人 技术 (TDMA) 来 解决 信道 共用 的 问题 。 

在 ONU 以 TDMA 方式 上 传 数据 时 ,为 了 避免 数据 可 能 发 生 的 冲突 ,OLT 与 ONU 之 
间 要 精确 测 距 和 时 钟 同 步 ,.ONU 要 按照 OLT 分 配 的 时 隙 发 送 数据 ,LD 光 发 射 机 要 有 高 的 
消光 比 。 由 于 各 ONU 与 OLT 之 间 的 物理 距离 不 相等 ,这 种 距离 差 将 导致 往返 时 间 在 微 秒 
级 之 间 变 化 。 由 于 往返 时 间 的 不 同 , 如 果 没 有 足够 的 隔离 间 际 ,来 自 不 同 ONU 的 信号 可 能 
同时 (或 时 间 上 部 分 重 又 ) 到 达 OLT 的 接收 端 ,这 将 引起 上 行 信号 的 冲突 。 另 外 ,由 于 环境 
温度 的 变化 和 器 件 老化 等 原因 ,光纤 的 传输 延 时 也 会 发 生变 化 ,这 种 变化 如 果 得 不 到 及 时 的 
纠正 ,积累 多 了 也 会 引起 上 行 冲突 发 生 。 为 了 避免 以 上 冲突 的 发 生 , EPON 系统 采用 时 间 
标签 法 测 距 。 时 间 标 签 法 测 距 是 基于 EPON 系统 时 间 标 签 来 实现 同步 的 ,通过 计算 接收 的 
时 间 标 签 值 和 本 地 时 钟 计数 器 时 间 标 签 差 值 来 实现 测 距 。 测 距 的 结果 用 来 获得 往返 时 间 
RTT 值 , 此 数值 可 以 用 来 调整 ONU 的 发 送 时 延 ,减少 ONU 发 送 窗口 间 的 间隔 ,从 而 提高 
上 行 信道 的 利用 率 并 减 小 时 延 。 

由 于 各 ONU 到 OLT 的 距离 不 同 , 即 使 ONU 在 OLT 规定 的 时 隙 内 发 送信 号 ,传输 到 
达 OLT 时 ,其 相位 差 和 信号 衰减 都 会 有 所 不 同 ,这 就 要 在 OLT 端 采 用 快速 比特 同步 电路 
和 突 发 模式 接收 机 。 

EPON 系统 的 关键 技术 有 : 高 速 突 发 信号 同步 与 收发 .精确 测 距 和 延 时 量 调整 .备用 光 
纤 的 自动 保护 倒 换 、 时 隙 分 配 .以 太 帧 拆 装 .用 户 参 数控 制 和 管理 等 。 


3.4.3 EPON 在 城 域 网 的 三 网 融合 中 的 应 用 


基于 无 源 光 网 络 的 千 兆 以 太 网 (EPON) 技 术 综合 了 无 源 光纤 网 络 (PON) 、 粗 波 分 复 用 
CCWDM) 和 千 兆 以 太 网 的 优点 ,使 用 廉价 的 系统 让 以 太 帧 的 光纤 传输 距离 扩展 到 20km 以 
内 ,可 成 为 构建 以 太 城 域 网 的 一 种 技术 。 特 别 是 在 互联 网 接 人 、 双 向 数字 有 线 电视 、 数 据 通 
信 的 三 网 融合 中 具有 较 大 的 优势 。 

图 3. 24 是 一 种 三 波长 的 EPON 网 络 系统 与 有 线 电视 系统 的 融合 方案 。 在 以 太 网 
接 入 方面 ,从 OLT 向 ONU 的 下 行 数据 使 用 1510nm 波 长 的 光 传 输 信 道 ,从 ONU 向 
OLT 的 上 行 数据 使 用 1310nm 的 光 传 输 信道 。 通过 EPON 网 络 中 心 的 OLT 和 路 由 器 
接 入 互联 网 ,或 者 构建 以 太 广 域 网 的 VLAN。 对 于 光纤 传输 距离 超过 20km 的 以 太 局 
域 网 或 用 户 的 接 入 ,可 采用 SDH 的 MSTP 多 业务 传输 平台 进行 远程 接 入 ,或 用 ADSL 
远程 接 入 。 

有 线 电视 网 络 中 心 的 数字 有 线 电 视 信 号 通过 1550nm 光 载 波 的 模拟 调制 ,由 摊 乌 光纤 
放大 器 (EDFA) 放 大 后 ,经 过 无 源 光 纤 网 络 (PON) 传 到 远 端 大 楼 或 园区 的 有 线 电视 本 地 网 
络 。 系 统 中 采用 粗 波 分 复 用 器 (CWDM) 实 现 三 个 波长 的 光路 信号 在 单 蕊 光纤 中 的 混合 与 
分 离 。 


»。86 。 


有 线 电 视 网 络 中 心 (CATV) 摊 针 光纤 放大 器 (EDFA) 大 楼 有 线 电 视 网 (CATV) 
路 由 回 [550nm 光 发 时 机 | ~[> 一 1550nm 光 接收 加 
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网 | 510nm 光 发 射 机 二 | 路 名 | 时 nm 光 发 射 机 | 大和 
1 D D 1| 以太 网 
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| 是 1310nm 光 接收 机 = 一 1 20km 1 一 一 1310nm 光 接收 机 ei 
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图 3.24 三 波长 EPON 综合 接 人 网 方案 


3.4.4 EPON 的 信息 安全 问题 


由 于 EPON 技术 是 在 以 太 网 技术 上 的 延伸 ,因此 在 系统 安全 方面 的 技术 与 共享 媒体 的 
以 太 网 类 似 。 

(1) EPON 中 的 下 行 数据 流 采用 广播 的 方式 发 送 ,因此 在 每 个 ONU 的 接收 端口 都 可 
捕获 到 全 部 下 行 数据 。 对 下 行 帧 头 部 的 MAC 地 址 等 信息 是 不 能 加 密 的 ,对 于 帧 内 载荷 的 
上 层 数据 ,可 以 在 OLT 与 每 个 ONU 之 间 协 商 使 用 对 称 密 钥 加 密 算法 进行 加 密 ,从 而 防止 
非法 用 户 对 信息 的 获取 。 加 密 可 以 选择 只 对 下 行 载荷 数据 加 密 , 或 者 对 上 下 行 载荷 数据 进 
行 加密 。 需 要 有 密 钥 的 产生 与 分 配 管理 等 配套 措施 , 详 见 第 10 章 。 

(2) 在 EPON 网 络 中 心 的 OLT 上 存储 有 系统 内 所 有 ONU 的 MAC 地 址 表 , 若 发 现 网 
络 中 传输 的 以 太 帧 MAC 地 址 不 再 此 表 中 , 则 可 判定 来 自 非 法 ONU 用 户 ,将 其 抛弃 。 

(3) 将 网 络 内 的 用 户 划分 为 多 个 VLAN 虚拟 局 域 网 ,隔离 不 同 VLAN 用 户 之 间 的 
数据 。 

(4) 对 ONU 的 身份 认证 鉴 权 方式 ,可 采用 本 地 的 CHAP 认证 、 远 端的 EAP 认证 、 
802. 1x 认证 等 。 如 果 需 要 进行 802. 1X 鉴 权 ,那么 需要 开启 认证 服务 器 才能 对 ONU 提供 
的 用 户 名 和 密码 进行 认证 。 可 在 远程 为 ONU 配置 802. 1x 认证 的 账号 和 密码 。 对 于 不 能 
通过 认证 鉴 权 的 ONU 则 可 遥控 将 其 关闭 。 鉴 权 操作 只 对 ONU 进行 ,不 针对 与 该 ONU 连 
接 的 局 域 网 内 用 户 。 

(5) EPON 系统 采用 单 芯 光纤 构成 的 树枝 形 PON 分 配 传输 网 络 ,造价 十 分 低廉 ,可 在 
主 于 上 设置 另 一 芯 光 纤 网 作为 备份 , 若 出 现 主 光 纤 断 路 ,可 在 OLT 上 进行 容 灾 自动 切换 。 


3.5 IEEE 802. 11 无 线 局 域 网 


无 线 通 信和 是 当前 快速 发 展 的 网 络 技术 之 一 。 无 线 局 域 网 在 校园 网 、 商 务 楼 和 很 多 公共 
场所 得 到 大 量 的 应 用 。 本 节 讨论 IEEE 802. 11 无 线 局 域 网 。 另 一 种 是 蓝牙 技术 (用 于 小 型 
无 线 局 域 网 ) 。 重 点 讨论 它们 的 物理 层 和 数据 链 路 层 。 


3.5.1 IEEE 802. 11 无 线 局 域 网 的 结构 


IEEE 802. 11 是 IEEE 制订 的 无 线 局 域 网 协议 ,包含 了 物理 层 和 数据 链 路 层 的 内 容 。 
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它 定 义 了 两 类 服务 : 基本 服务 集 (Basic Service Set,BSS) 和 扩展 服务 集 (Extended Service 
Set,ESS) 。 

1. 基本 服务 集 (BSS) 

它 是 无 线 局 域 网 的 基本 模块 ,由 固定 的 或 移动 的 无 线 工 作 站 ,以 及 一 个 可 选 的 固定 中 心 
基站 (Access Point, AP) 所 构成 。 图 3. 25 为 这 两 种 配置 的 示意 图 。 


基本 服务 集 (BSS) 三 -一 < 一 ES | 
mo | 了 昂 有 了 业 


Ad hoc 网 络 (无 AP 的 BSS) 基本 构架 (有 AP 的 BSS) 
图 3.25 基本 服务 集 (BSS) 的 两 种 基本 配置 


不 设置 AP 的 基本 服务 集 (BSS) 是 一 个 独立 的 无 线 局 域 网 ,不 能 发 送 数据 到 其 他 的 
BSS , 称 为 ad hoc 构架 (Architecture) 。 这 种 结构 中 的 数据 传输 不 需要 经 过 AP ,工作 站 群 就 
可 以 构成 一 个 对 等 网 络 ,它们 可 以 相互 独立 ,也 可 成 为 BSS 的 一 部 分 。 具 有 AP 的 BSS 也 
称 为 基本 构架 的 网 络 。 

2. 扩展 服务 集 (ESS) 

由 两 个 或 两 个 以 上 的 具有 AP 的 BSS 构成 。 这 些 BSS 由 分 布 式 的 传输 系统 连接 起 来 ， 
通常 这 个 分 布 式 的 传输 系统 就 是 一 个 有 线 局 域 网 ,也 可 以 是 无 线 分 布 系统 。 分 布 系统 将 各 
BSS 中 的 AP 连接 起 来 ,从 而 组 成 一 个 更 大 的 网 络 。IEEE 802. 11 并 没有 限定 此 分 布 系统 
的 类 型 ,可 以 是 任何 类 型 的 IEEE 局 域 网 ,例如 以 太 网 等 。ESS 使 用 两 类 工作 站 : 移动 工作 
站 和 固定 工作 站 (AP) ,如 图 3. 26 所 示 。 


分 布 系统 


图 3.26 扩展 服务 集 (ESS) 


当 这 些 BSS 被 连接 起 来 后 ,在 同一 个 BSS 中 的 工作 站 可 以 不 经 过 AP 而 相互 通信 。 然 
而 ,在 两 个 不 同 的 BSS 中 的 两 台 工 作 站 之 间 的 通信 必须 经 过 两 台 AP 的 转发 。 此 概念 中 ,一 
个 BSS 类 似 一 个 蜂窝 移动 网 络 , AP 是 基站 ,工作 站 是 蜂窝 中 的 移动 台 。 注 意 ,一 台 移动 的 
工作 站 可 以 同时 属于 多 个 BSS。 

3. 无 线 工作 站 的 类 型 

IEEE 802. 11 定义 了 3 种 类 型 的 工作 站 ,主要 基于 它们 在 无 线 局 域 网 中 的 移动 性 : 非 
转移 的 (no-transition) .BSS- 转 移 的 和 ESS- 转 移 的 工作 站 。 一 个 非 转移 的 工作 站 可 以 是 一 
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个 BSS 中 的 固定 工作 站 或 移动 工作 站 。 一 个 BSS- 转 移 的 工作 站 能 够 从 一 个 BSS 移动 到 另 
一 个 BSS, 但 这 种 移动 是 限制 在 同一 个 ESS 中 的 。 一 个 具有 ESS- 转 移 的 工作 站 能 够 在 不 同 
的 ESS 中 移动 ,但 是 IEEE 并 不 保证 在 这 种 移动 中 通信 的 连续 性 。 


3.5.2 IEEE 802. 11 无 线 局 域 网 的 MAC 子 层 


IEEE 802. 11 定义 了 两 个 MAC 子 层 : 分 布 式 协调 功能 (Distributed Coordination 
Function ,DCF) 和 点 协调 功能 (Point Coordination Function, PCF)。 图 3. 27 为 这 两 个 
MAC 子 层 的 关系 ,LLC 子 层 和 物理 层 。 


IEEE 802.1 
无 竞争 的 服务 
Contention-Free Service 竞争 的 服务 
点 协调 功能 (PCF) ey 
Point Coordination Function 
分 布 式 协调 功能 (DCF) 
Distributed Coordination Function 
802.11 | 802.11 | 802.11 | 802.11a | 802.11a | 802.11g 
FHSS | DSS | 红外 光 | DSSS | ofdtm | DSSS 


图 3.27 IEEE 802.11 标准 中 的 MAC 各 层 


1. 分 布 式 协调 功能 (DCF) 

DCF 是 IEEE 802. 11 定义 的 两 个 MAC 子 层 的 协议 之 一 ,使 用 CSMA/VCA( 载 波 侦 听 
多 路 接 入 /冲突 回避 ) 的 技术 访问 信道 媒体 。 无 线 LAN 不 能 使 用 CSMA/CD 的 原因 如 下 : 

(1) 为 了 进行 冲突 检测 ,一 个 移动 工作 站 必须 能 同时 发 送 数据 和 接收 冲突 信号 。 这 会 
增加 工作 站 的 成 本 ,以 及 信道 带宽 。 

(2) 因为 有 隐蔽 站 的 问题 ,冲突 可 能 检测 不 到 。 下 面 将 会 讨论 此 问题 。 

(3) 工作 站 之 间 的 距离 可 能 很 大 ,无 线 电信 号 的 衰落 会 导致 工作 站 不 能 听 到 另 一 端 产 
生 的 冲突 。 

图 3. 28 为 无 线 局 域 网 使 用 的 CSMA/CA 的 工作 流程 图 。 下 面 将 逐步 进行 分 析 。 

第 一 步 : 发 送 帧 之 前 ,发送 源 站 通过 检测 无 线 电 载波 的 信号 强度 来 判断 信道 是 否 空闲 。 

使 用 后 退 - 坚 持 策略 继续 侦 听 ,直到 信道 空 闸 。“ 后 退 -坚持 ”的 概念 是 , 当 第 1 次 侦 听 时 
信道 不 空闲 ,就 等 待 一 个 增加 的 后 退 时 间 再 侦 听 , 当 第 2 次 侦 听 信道 不 空闲 ,等 待 的 后 退 时 
间 又 再 增加 1 倍 。 

当 信道 空闲 后 ,工作 站 继续 等 待 一 段 称 为 分 布 式 帧 间 间 隔 (Distributed Interframe 
Space,DIFS) 的 时 间 ,然后 发 送 一 个 称 为 发 送 请 求 (Request To Send,RTS) 的 帧 。 

第 二 步 : 当 目 的 站 收 到 RTS 后 ,等 待 一 段 称 为 短 帧 间 间 隔 (Short Interframe Space， 
SIFS) 的 时 间 , 目 的 站 发 送 一 个 称 为 可 以 发 送 (Clear To Send,CTS) 的 控制 帧 给 源 站 。 此 控 
制 帧 指出 目的 站 已 经 准备 好 接收 数据 。 

第 三 步 : 源 站 等 待 一 段 相 当 于 SIFS 的 时 间 后 ,发 送 数据 。 

第 四 步 : 目的 站 收 到 数据 后 ,等 竺 一段 相当 于 SIFS 的 时 间 后 ,向 源 站 发 回 ACK 帧 确认 
数据 帧 已 经 收 到 。 此 协议 中 必须 要 确认 ,因为 没有 其 他 途径 可 以 检测 目的 站 是 否 已 经 成 功 
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图 3.28 无 线 局 域 网 的 CSMA/CA 流程 图 
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等 待 SIFS 


发 送 帧 
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启动 定时 器 


增加 后 
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地 收 到 了 数据 。 但 在 CSMA/CD 系统 中 ,只 要 发 送 端 没 有 检测 到 冲突 ,就 知道 数据 已 经 顺 


利 到 达 目 的 站 了 ,不 需要 接收 方 的 确认 。 


网 络 占用 矢量 (Network Allocation Vector,NAV): 如 果 有 一 个 工作 站 在 占用 信道 ,其 
他 工作 站 如 何 推迟 发 送 它们 的 数据 呢 ? 换言之 ,如 何 实现 此 协议 的 冲突 避免 呢 ? 关键 在 于 
网 络 占用 矢量 (NAV) 的 特性 。 

当 一 个 站 发 送 RTS 帧 后 ,就 包含 了 它 需 要 占用 信道 的 时 间 段 。 受 到 RTS 帧 影响 的 那 
些 站 就 启动 一 个 称 为 网 络 占用 矢量 (NAV) 的 定时 器 ,该 定时 器 标明 这 些 站 要 等 待 多 长 时 间 
才能 再 来 检测 信道 是 否 空闲 。 每 次 有 一 个 站 发 送 RTS 帧 后 ,其 他 站 都 要 启动 它们 的 NAV 
定时 器 。 换 言 之 ,每 个 站 在 检测 物理 信道 是 否 空闲 之 前 .都 要 先 查 看 NAV 定时 器 是 否 超 


时 。 图 3. 29 所 示 为 NAV 定时 器 的 概念 。 


握手 时 的 冲突 : 如 果 在 RTS 或 CTS 控制 帧 传播 的 握手 期 间 产 生 了 冲突 将 会 发 生 什么 
情况 呢 ? 就 是 两 个 或 两 个 以 上 的 站 同时 发 送 RTS 帧 ,这 些 控制 帧 会 产生 冲突 。 然 而 ,因为 
没有 冲突 的 检测 机 制 发送 方 在 没有 收 到 来 自 接收 端 CTS 帧 时 就 判断 产生 了 冲突 。 就 采取 
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Dm a _ 所 有 的 无 线 站 _ 


DIFS, RTS 
CTS SIFS 所 有 的 站 收 到 RTS 
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图 3.29 数据 和 控制 帧 的 交换 


后 退 - 坚 持 的 策略 ,等 待 更 长 的 时 间 后 再 尝试 又 一 次 发 送 。 

2. 点 协调 功能 (PCF) 

点 协调 功能 (Point Coordination Function ,PCF) 是 一 个 在 基本 构架 的 无 线 网 络 中 可 选 
的 媒体 访问 方法 ,在 ad hoc 网 络 中 不 可 用 。 它 在 DCF 的 上 层 运行 ,主要 应 用 于 时 间 敏 感 的 
传输 业务 中 ,如 图 3. 30 所 示 。 


并 重复 时 间 间 隔 
B: 信 标 帧 CF 无 竞争 期 将 
一 一 | 竞争 期 
心 PIFS| |SIFS SIFS TACKT+ 
contention-free < yr B 轮 询 轮 询 | … [CF 结束 . 
Rs 时 间 
被 轮 询 ACK+ 
的 站 数据 
时 间 
所 有 站 hh NAV 罗 
<S 时 间 


图 3.30 重复 时 间 间 隔 的 例子 


PCF 使 用 集中 式 的 无 竞争 的 轮 询 访问 方法 。 由 AP 轮流 逐个 地 询问 各 工作 站 ,将 它们 
的 任何 数据 都 发 给 AP。 为 了 让 PCF 具有 比 DCF 较 大 的 优先 权 , 定 义 了 另 一 组 帧 间 的 时 间 
间隔 : PIFS 和 SIFS。 这 里 的 SIFS 与 DCF 中 的 相同 .但 是 PIFS(PCF IFS) 比 DIFS 的 时 间 
要 短 。 这 意味 着 ,如 果 有 一 个 工作 站 要 使 用 DCF, 并 日 AP 也 要 使 用 PCF ,那么 AP 具有 优 
先 权 。 

由 于 PCF 比 DCF 有 高 的 优先 权 , 只 使 用 DCF 的 工作 站 就 不 能 访问 传输 信道 。 要 避免 
出 现 此 情况 ,设计 了 一 个 重复 (Repetition) 时 间 间 隔 来 处 理 无 竞争 的 PCF 和 基于 竞争 的 
DCF 的 网 络 流量 。 重 复 间 隔 (Repetition Interval) 由 一 个 称 为 信 标 帧 (Beacon Frame) 的 控 
制 帧 启动 ,不 停 地 重复 。 当 工作 站 听 到 信 标 帧 后 ,它们 就 为 此 重复 间隔 的 无 竞争 时 期 启动 它 
们 的 NAV。 图 3. 30 是 一 个 重复 时 间 间 隔 的 例子 。 

在 重复 间隔 时 期 ,点 控制 器 (Point Controller, PC) 可 以 发 送 一 个 轮 询 帧 ,接收 数据 ,发 
送 ACK 或 做 这 些 事 的 组 合 。 当 CF 无 竞争 期 结束 时 ,PC 发 送 一 个 CF 结束 帧 ,允许 基于 竞 
争 的 站 来 争 用 传输 媒体 。 

本 下 读 


3. 数据 分 段 
无 线 电 通信 环境 的 噪声 干扰 较 大 , 收 到 损坏 的 帧 必须 抛弃 和 重 传 。 因 此 要 对 长 的 帧 进行 
分 段 , 因 为 经 过 无 线 电 信道 传输 后 产生 误 码 重 传 的 概率 高 ,传输 短 的 帧 才 具 有 和 较 高 的 效率 。 
关于 分 段 的 长 度 门限 可 人 工 或 自动 设 定 , 见 图 3. 40 案例 中 的 参数 Fragment Threshold。 
4. IEEE 802. 11 帧 结构 
MAC 帧 由 9 个 字段 组 成 ,下 面 讨论 各 字段 的 内 容 ,参看 图 3. 31。 
字 节 2 2 6 6 6 2 6 O02312 4 
FC | D | 地 址 ! | 地 址 2 | 地 址 3 | SC | 地 址 4 | 帧 主体 | FCS 


协议 版 本 | 类 型 | 子 类 型 | To DS | From DS | More flag | 重 传 WEP | Rsvd 
比特 2 2 4 1 1 1 1 1 1 1 1 
图 3.31 IEEE 802. 11 帧 的 结构 
IEEE 802. 11 控制 帧 的 子 类 型 如 表 3.6 所 示 。 
表 3.6 IEEE 802. 11 控制 帧 的 子 类 型 

字 段 含义 

协议 版 本 当前 版 本 号 0 

类 型 帧 主体 包含 信息 的 类 型 :管理 (00) ,控制 (01) ,数据 (10) 

子 类 型 每 个 字 节 的 子 类 型 ,参看 表 3.7 

To DS 见 表 3. 8 解释 

From DS 见 表 3. 8 解释 

More flag 当 该 比特 为 1, 说 明 本 分 段 后 面 还 有 更 多 的 分 段 

重 传 当 该 比特 为 1 ,说明 本 帧 是 重 传 的 帧 

Pwr mgt 当 该 比特 为 1, 说 明 工 作 站 处 于 电源 管理 模式 

More data 当 该 比特 为 1, 说 明 该 工作 站 还 有 更 多 数据 要 发 送 

WEP 与 有 线 传输 相同 的 保密 (使 用 了 加 密 措 施 ) 

Rsvd 预 留 


帧 控制 (Frame Control,FC) 字 段 : 该 字段 长 2B(16 比特 ) ,内 含 帧 的 类 型 和 其 他 控制 信 
息 。 表 3.7 是 FC 字段 中 各 子 字 段 的 定义 。 
表 3.7 IEEE 802.11 帧 结构 中 帧 控制 (FC) 的 各 子 字段 的 含义 


子 类 型 含 义 
1011 RTS(Request To Send) 发 送 请 求 帧 
1100 CTS(Clear To Send) 人 允许 发 送 帧 
1101 ACK(Acknowledgement) 确 认 帧 


D 字 段 : 在 大 多 数 帧 中 ,此 字段 用 于 定义 传输 设置 NAV 值 所 需 的 时 间 。 但 在 一 个 控制 
帧 中 ,此 字段 用 于 定义 该 帧 的 ID(Cidentification) 。 
地 址 字段 : 有 4 个 地 址 字段 ,每 个 字段 长 6B。 每 个 地 址 字段 的 含义 取决 于 To DS 和 
From DS 两 个 子 字段 的 值 。 下 面 讨论 。 
。 顺序 控制 (Sequence Control,SC) : 用 于 在 流 控制 中 定义 帧 的 顺序 号 。 
。 帧 主体 (Frame body): 该 字段 长 度 0~2312B, 包 含 数据 信息 ,其 类 型 取决 于 FC 字 
段 中 类 型 和 子 类 型 的 设置 ,参看 表 3.7。 
。 FCS: 长 4B, 包 含 CRC-32 循环 宛 余 校 验 码 ,向 接收 端 提供 对 该 帧 的 检 错 码 。 
。 帧 类 型 : IEEE 802. 11 无 线 局 域 网 定义 了 3 种 类 型 的 帧 : 管理 帧 .控制 帧 和 数据 帧 。 
。 管理 帧 : 用 于 移动 站 与 AP 接 入 点 之 间 的 初始 通信 。 
。 控制 帧 ; 用 于 访问 信道 和 对 接收 到 帧 的 ACK 确认 。 当 该 帧 为 控制 帧 时 ,类 型 字段 
的 值 为 01。 图 3. 32 所 示 为 IEEE 802. 11 无 线 局 域 网 的 控制 帧 的 结构 。 这 些 控制 
帧 的 子 类 型 字段 的 值 参看 表 3. 7。 


6 二 6 4 字 节 32” 汉 6 4 
FC | D | 地 址 ! | 地 址 ? | FCS FC | D | 地 址 ! | FCS 
RTS 发 送 请 求 帧 CTS 允 许 发 送 帧 ， 或 ACK 确 认 帧 


图 3.32 IEEE 802. 11 无 线 局 域 网 的 控制 帧 


。 数据 帧 : 其 功能 是 向 目的 工作 站 传送 数据 信息 。 

5. 无 线 局 域 网 中 通信 双方 不 同位 置 时 的 地 址 字段 

IEEE 802. 11 根据 无 线 局 域 网 的 通信 双方 的 位 置 情 况 ,定义 了 4 种 地 址 的 组 合 ,由 FC 
字段 中 的 两 个 子 字 段 To DS 和 From DS 的 值 来 确定 ,每 个 字段 的 值 可 以 为 0 或 1, 共 有 4 种 
组 合 值 ,各 代表 通信 双方 (A 发 B 收 ) 的 一 种 位 置 情况 ,参看 图 3. 33 和 表 3. 8。 


基本 服务 集 (BSS) 


1 入 ”人 基本 服务 集 (BSS) dllBSS 
1 地 址 字段 :1 2 3 4 1 
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1 1 
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| 移动 站 Bj ! 地 址 字段 | 2 _3__ 4 _ 源 移动 站 A | 移动 站 B | | 源 移动 站 AJ 
第 3 种 位 置 情 况 :10 第 4 种 位 置 情况 :11 


图 3. 33 无 线 局 域 网 中 4 种 不 同 主机 位 置 情况 下 的 地 址 字段 内 容 


注意 ,地 址 1 总 是 传输 下 一 个 设备 的 地 址 。 地 址 2 总 是 传输 上 一 个 设备 的 地 址 。 地 址 
3 是 传输 的 最 后 目的 站 的 地 址 (如 果 没 有 被 地 址 1 定义 的 话 )。 地 址 4 是 源 工 作 站 的 地 址 
(如 果 与 地 址 2 不 同 的 话 ) 。 


。 93 。 


表 3.8 IEEE 802.11 MAC 帧 中 的 地 址 


地 址 1 地 址 2 地 址 4 

0 目的 地 址 源 地 址 N/A 不 用 
0 | 1 目的 地 址 发 送 中 的 AP N/A 不 用 
1 接收 中 的 AP | 源 地 址 N/A 不 用 
接收 中 的 AP | 发 送 中 的 AP 源 地 址 


(1) 表 3. 8 中 第 1 种 地 址 情况 00: To DS 二 0,From DS 二 0。 说 明 该 帧 不 是 发 往 有 线 分 
布 系统 (To DS 二 0) ,并 且 也 不 是 来 自 有 线 分 布 系统 (From DS 二 0)。 该 帧 是 从 基本 服务 集 
(BSS) 中 的 一 个 工作 站 发 到 另 一 个 工作 站 ,中 间 不 需要 经 过 有 线 分 布 系统 (DS)。 对 它 的 确 
认 帧 CACK) 应 当 发 给 原始 的 发 送 端 。 地 址 如 图 3. 33 所 示 。 

(2) 表 3.8 中 第 2 种 地 址 情况 01: To DS 二 0,From DS 二 1。 说 明 该 帧 是 来 自 有 线 分 布 
系统 。 从 有 线 分 布 系统 末端 的 AP 发 出 , 送 给 一 个 移动 工作 站 。 对 该 帧 的 确认 帧 (ACK) 应 
当 发 给 AP。 地 址 如 图 3. 33 所 示 。 注 意 , 地址 3 中 的 源 地 址 位 于 另 一 个 基本 服务 集 
(BSS) 中 。 

(3) 表 3.8 中 第 3 种 地 址 情况 10: To DS==1,From DS 二 0。 说 明 该 帧 要 传 到 有 线 分 布 
系统 (DS) ,该 帧 从 一 个 移动 工作 站 发 到 AP。 对 该 帧 的 确认 帧 C(ACK) 应 当 发 给 源 工 作 站 。 
地 址 如 图 3. 33 所 示 。 注 意 ,地 址 3 中 的 地 址 是 位 于 另 一 个 基本 服务 集 (BSS) 中 的 最 后 的 目 
的 站 地 址 。 

(4) 表 3.8 中 第 4 种 地 址 情况 11: To DS=1,From DS 二 1。 说 明 连 接 各 基本 服务 集 
(BSS) 的 分 布 系统 是 无 线 系统 。 该 帧 是 从 无 线 分 布 系 统 中 的 一 个 AP 发 向 另 一 个 AP。 如 
果 目 的 站 位 于 一 个 有 线 LAN 中 ,就 不 需要 定义 地 址 ,因为 该 帧 的 地 址 3 中 已 包含 有 线 LAN 
的 以 太 网 地 址 。 在 这 里 需要 4 个 地 址 : 源 发 送 端的 地 址 ,最 终 目的 端的 地 址 ,两 个 中 间 的 
AP 的 地 址 ,如 图 3. 33 所 示 。 

6. 无 线 局 域 网 中 的 隐蔽 站 和 暴露 站 问题 

(1) 隐蔽 站 问题 。 图 3. 34 所 示 为 一 个 隐蔽 站 的 例子 。 移 动工 作 站 B 的 无 线 电 传输 覆 
盖 范 围 是 左边 椭圆 的 区 域 ,此 区 域内 的 每 个 无 线 工 作 站 都 可 以 听 到 B 发 送 的 信号 。 移 动工 
作 站 C 的 无 线 电 传输 范围 是 右边 的 椭圆 区 域 , 此 区 域内 的 每 个 无 线 移动 站 都 可 以 听 到 C 发 
送 的 信号 。C 位 于 B 的 信号 覆盖 范围 之 外 ,同样 B 也 位 于 C 的 信号 覆盖 范围 之 外 。 有 一 个 
移动 工作 站 A 位 于 B 和 C 的 信号 的 共同 覆盖 区 域 .可 以 听 到 来 自 B 或 C 的 信号 。 


图 3. 34 ”无线 移动 站 B 和 C 互 为 隐蔽 站 


假设 B 正 在 发 送信 号 给 A, 正 在 传输 的 时 候 C 也 要 发 送 数据 给 A。 由 于 C 不 能 收 到 B 

的 信号 ,因此 C 误 认为 此 共用 的 无 线 电信 道 是 空闲 的 ,C 就 发 送 数 据 给 A。 这 样 一 来 B 和 C 

的 数据 同时 到 达 人 ,产生 了 冲突 。 这 种 情况 下 , 称 B 和 C 互 为 隐蔽 站 (相对 于 A 站 )。 由 于 
二 洛 民 人 汪 


会 导致 冲突 的 产生 ,隐蔽 站 现象 的 存在 会 降低 无 线 局 域 网 的 有 效 通信 容量 
解决 隐蔽 站 问题 的 方法 是 采用 握手 帧 (发 送 请 求 RTS 和 可 以 发 送 CTS)。 图 3. 35 所 示 

为 采用 握手 的 方式 来 解决 隐藏 站 的 例子 。B 发 
民 


送 了 一 个 发 送 请 求 RTS 帧 ,A 收 到 了 ,但 是 C > 
没有 收 到 。A 就 发 送 一 个 可 以 发 送 CTS 帧 给 了 
B, 此 CTS 帧 中 含有 B 给 A 的 数据 传输 期 间 。B RTS 

C 都 收 到 此 CTS 帧 ,C 就 推断 知道 有 一 个 隐 5 可 以 发 
项 站 正在 使 用 此 共享 的 无 线 电信 道 , 于 是 C 就 
等 待 ,直到 数据 传输 期 间 结束 。 本 网 时 局 时 


(2) 暴露 站 问题 。 与 隐蔽 站 相反 的 一 种 情 ”图 3 35 使 用 握手 过 程 来 防止 隐 项 站 冲突 
况 是 暴露 站 问题 。 在 这 种 情况 下 ,一 台 移 动工 作 站 有 数据 要 发 送 ,但 是 由 于 对 可 用 的 无 线 信 
道 的 情况 判断 有 误 , 却 没有 发 送 。 

图 3. 36 中 ,工作 站 A 正在 向 B 发送 数 据 ,此 时 工作 站 C 有 数据 要 发 送 给 D, 从 各 站 的 
覆盖 范围 来 看 ,C 可 以 发 送 给 D 而 不 会 干扰 A 对 B 的 通信 的 。 但 是 由 于 C 接收 到 了 A 的 
信号 (虽然 不 是 给 它 的 ) ,于 是 C 对 D 的 数据 没有 发 送 。 在 这 种 情况 下 ,由 于 C 太保 守 , 浪 费 
了 可 用 的 信道 容量 


C 站 的 
Ws) 
7 区 二 


Ai 通信 上 C 虹 在 人 8 的 通信 范 图 中 
图 3.36 暴露 站 问题 降低 了 无 线 局 域 网 的 效率 


在 处 理 隐蔽 站 时 采用 的 握手 方式 RTS 和 CTS 在 这 里 发 挥 不 了 作用 。 工 作 站 C 听 到 来 
自 A 的 RTS, 但 是 听 不 到 来 自己 的 CTS。C 听 到 来 自 A 的 RTS 后 ,可 以 等 待 一 段 时 间 , 让 
也 的 CTS 到达 A, 然后 C 再 发 送 RTS 给 D, 要 求 与 D 进行 通信 。 此 时 B 和 A 都 可 以 听 到 C 
的 RTS, 但 是 A 处 于 发 送 状态 ,而 不 是 接收 状态 。B 对 A 响应 了 一 个 CTS。 问 题 就 是 : 如 
果 A 开始 发 送 它 的 数据 ,C 就 不 能 听 到 来 自 D 的 允许 发 送 CTS( 因 为 产生 了 冲突 ),C 就 不 
能 发 送 数据 给 D。 直 到 A 结束 发 送 数 据 后 ,C 才能 够 解除 暴露 状态 。 


3.5.3 IEEE 802. 11 无 线 局 域 网 的 物理 层 


IEEE 802. 11 无 线 局 域 网 的 物理 层 有 6 种 规范 ,如 表 3. 9 所 示 。 除 了 红外 光 外 ,使 用 的 
射频 频段 都 在 工业 、 科 学 和 医疗 频段 (Industrial, Scientific,and Medical Band,ISM) 。ISM 
频段 的 使 用 不 需要 申请 无 线 电 使 用 执照 ,包含 3 个 频段 : 902~928MHz,2. 4 一 4. 835GHz， 
5.725 一 5.85GHz, 如 图 3. 37 所 示 。 


26MHz 83.5MHz 125MHz 

= = 

902 928 2.4 2.485 5.725 世人 频率 
MHz MHz GHz GHz GHz GHz 3 


图 3.37 工业 、 科 学 与 医疗 ISM 无 线 电 频段 的 规定 范围 
。95 。 


表 3.9 IEEE 802.11 的 物理 层 


IEEE 通信 技术 频段 调制 方式 速率 (Mbps) 
FHSS 2.4GHz FSK 1 和 2 
802. 11 DSSS 2.4GHz PSK 1 和 2 
红外 光 PPM 1 和 2 
802. 11a OFDM 5.725GHz PSK 或 QAM 6 一 54 
802. 11b DSSS 2.4GHz PSK 5.5 和 11 
802. 1lg OFDM 2.4GHz 22 和 54 


1. IEEE 802. 11 FHSS 跳 频 扩 展 频 谱 通信 系统 

IEEE 802. 11 FHSS 使 用 跳 频 扩展 频谱 DSSS 通信 技术 。 工 作 频 段 为 ISM 的 2. 4 一 
2.485GHz, 带 宽 83. 5MHz, 将 此 带宽 分 为 79 个 1MHz 带宽 的 子 带 ,各 子 带 之 间 有 保护 间 际 
频带 ,以 防止 子 带 之 间 相互 干扰 。 使 用 了 一 个 伪 随 机 码 发 生 器 来 选择 跳 频 序列 。 调 制 技术 
是 2 级 频 移 键 控 FSK 或 4 级 频 移 键 控 FSK, 每 波 特 传 输 1 或 2 比特 信息 ,因此 数据 率 
1Mbps 或 2Mbps, 将 此 基带 信号 送 到 ISM 跳 频 调制 器 ,如 图 3.38(a) 所 示 。 


11-chip BPSK 或 
1 或 2 Mbps| i 1 或 2MH Se | 和 MHz 的 
或 2 序列 j 或 2 调制 
本 的 从 序列 调制 示 的 人 调制 器 可 可 
1 或 2 Mbps | 型 Ea 1 MHz 带宽 记号 ISM 载 
的 竺 传输 f penile 频 调制 器 
eg 偷 出 至 IS b) IEEE 802. 11 FDSSS 的 基带 六 
数据 频率 合成 器 | 跑 纪 调制 器 (b) 的 基带 调制 
t 
伪 随 机 序列 4bit 转 16bit a 
发 生 器 -| 或 2bit 转 a ee 
1 或 2 Mbps 4bit 编码 模拟 信号 去 
(a) IEEE 802. 11 FHSS 的 基带 调制 有 各 信 答 码 喘 射 变换 红外 光 调制 器 


(c) IEEE 802. 11 红外 光 的 基带 调制 
图 3.38 IEEE 802. 11 无 线 局 域 网 的 基带 调制 


2. IEEE 802. 11 DSSS 直接 序列 扩展 频谱 通信 系统 

IEEE 802. 11 DSSS 使 用 直接 序列 扩展 频谱 DSSS 通信 技术 。 扩 频 直接 序列 码 片 为 
11-chip Barker 序列 , 扩 频 后 为 11 或 22MHz 带宽 。 载 波 工 作 频段 为 ISM 的 2. 4GHz。 调 
制 技术 为 相 移 键 控 PSK , 波 特 速率 1Mbaud/s,2 相 键 控 BPSK 时 为 1bit/baud,4 相 键 控 
QPSK 时 为 2bit/baud。 因 此 通信 速率 为 1Mbps 或 2Mbps。 再 将 此 基带 送 到 ISM 载 频 调 
制 器 ,如 图 3.38(b) 所 示 。 

3. IEEE 802. 11 红外 光 通 信 

使 用 的 红外 光波 长 范围 800 一 950nm。 调 制 技术 为 脉冲 位 置 调制 (Pulse Position 
Modulation,PPM) 。 对 于 1Mbps 的 数据 速率 , 先 将 4 比特 的 序列 映射 为 16 比特 的 序列 ,这 
种 序列 中 只 有 1 个 比特 为 1, 其 余 15 个 比特 全 为 0。 对 于 2Mbps 的 数据 速率 , 先 将 2 比特 
的 数据 序列 映射 为 4 比特 的 序列 ,这 种 序列 中 只 有 1 个 比特 为 1, 其 余 3 个 比特 为 0。 映射 

96 。 


后 的 序列 被 送 到 光 调 制 器 转换 为 光 信 号 ,有 光 表 示 1 ,无 光 表 示 0, 如 图 3. 38(c) 所 示 。 

4. IEEE 802. 11a OFDM 正 交 频 分 多 路 复 用 系统 

正 交 频 分 多 路 复 用 数据 通信 技术 (Orthogonal Frequency-Division Multiplexing， 
OFDM) 在 宽带 移动 通信 系统 中 得 到 了 广泛 的 应 用 ,如 移动 数字 电视 系统 、 移 动 多 媒体 通信 
系统 等 。 在 IEEE 802. 11a 的 OFDM 中 使 用 5.725 GHz 的 ISM 频段 。OFDM 类 似 于 频 分 
多 路 复 用 FDM 系统 ,将 整个 通信 频段 分 为 52 个 子 频带 ,其 中 48 个 子 频带 用 于 并 行 地 传输 
数据 组 ,4 个 子 频 带 用 于 传输 控制 信息 。 调 制 方法 类 似 于 第 2 章 介 绍 的 非 对 称 数字 用 户 线 
路 (Asymmetric Digital Subscriber Line, ADSL) ,对 每 个 子 带 的 调制 使 用 PSK 和 QAM, 总 
数据 速率 : PSK 为 18Mbps,QAM 为 54Mbps。 将 频段 分 为 子 带 可 以 减少 相互 干扰 ,如 果 随 
机 地 使 用 这 些 子 带 , 也 可 以 提高 安全 性 。 

5. IEEE 802. 11b DSSS 高 速率 直接 序列 扩 频 

IEEE 802. 11b DSSS 使 用 高 速率 直接 序列 扩 频 (High-Rate Direct Sequence Spread 
Spectrum, HR-DSSS) 技 术 , 工 作 于 2. 4GHz 的 ISM 频段 。HR-DSSS 与 DSSS 系统 类 似 , 但 
是 编码 方法 不 同 , 称 为 补 码 键 控 (Complementary Code Keying,CCK) ,将 4 或 8 比特 编码 为 
1 个 CCK 符号 。 为 了 实现 与 DSSS 的 向 下 兼容 , HR-DSSS 定义 了 4 种 数据 速率 : 1,2， 
5.5 和 11Mbps。 前 两 种 速率 使 用 与 DSSS 相同 的 调制 技术 。5. 5Mbps 速率 使 用 了 2 相 相 
移 键 控 BPSK 技术 , 波 特 率 为 1. 375Mbaud/s, 每 波 特 用 4 bit CCK 编码 。 其 调制 技术 如 
图 3.39 所 示 。 


下 
5 或 11 55 Mbps 2 比特 : ls) 二 
Mbps | 1:4 站 11 Mbps :6 比特 区 
数据 或 QPSK | 一 一 一 一 
变换 2 比特 


图 3.39 802.11b 高 速率 直接 序列 扩 频 系统 的 基带 调制 


6. IEEE 802. 11g 

此 新 技术 定义 了 前 向 纠 错 技 术 和 正 交 频 分 多 路 复 用 技术 (OFDM) ,使 用 2. 4GHz 的 
ISM 频段 。 其 调制 技术 实现 了 22 或 54Mbps 的 数据 速率 。 它 与 IEEE 802. 11b 兼容 ,但 是 
调制 技术 为 OFDML。 


3.5.4 IEEE 802. 11 无 线 局 域 网 的 安全 性 


无 线 局 域 网 中 的 安全 问题 分 为 访问 控制 和 信息 保密 两 部 分 。 访 问 控制 由 访问 识别 号 
SSID 机 制 保障 ,但 是 SSID 本 身 很 不 安全 ,服务 区 号 可 以 通过 窃听 或 其 他 简易 手段 获得 , 因 
此 这 种 访问 控制 机 制 只 是 初级 的 防护 。 图 3. 40 所 示 为 一 个 工作 站 登录 到 IEEE 802. llg 
无 线路 由 器 的 联网 状态 案例 ,从 中 可 读 出 前 述 相 关 参 数 。 对 信息 安全 的 保密 机 制 当前 主要 
采用 有 线 等 价 保密 (Wired Equivalent Privacy, WEP) ,但 是 WEP 协议 也 存在 安全 方面 的 不 
足 ,IEEE 提出 了 WEP2、ESN(Enhanced Security Network) 等 改进 方法 。 

无 线 局 域 网 中 存在 以 下 几 种 安全 隐患 : 

(1) 拒绝 服务 攻击 DoS ,攻击 者 可 以 发 送 大 功率 的 与 无 线 局 域 网 相同 频率 的 干扰 信和 号 
来 干扰 网 络 的 正常 工作 , 即 采用 无 线 电 干 扰 ,导致 正常 用 户 无 法 使 用 网 络 。 


和 i 二 7 训 


了 rofile View OQption Help 


Device List: Status |consie] Site Survey | Statistic | Signal | 
EE Associated with SN.C. 
A SNC. 

i 0015E90EA174 


Operation Mode Infrastructure 
Channel 5 

Maximum Link Speed 54Mbps 

Current Data Rate Auto Rate selection 
Encryption Mode WEP Enabled 


Authentication Mode Open Mode 
Network Type 802119 
PowerSave Mode CAM Mode 


Fragment Threshold 2312 bytes 

RTS Threshold 2312 bytes 

Local MAC Address 0012:76:47.6E:A3 
RXAntennaSelecion 0 

TxAntenna Selecion 0 

Device ID 3184 


图 3.40 计算 机 登录 到 IEEE 802. 11g 无 线路 由 器 的 联网 参数 案例 


(2) 无 线 窃 听 ( 即 被 动 式 攻击 ) ,由 于 办 公 室 内 的 无 线 电 信号 能 传播 到 室外 ,入 侵 者 可 以 
在 建筑 物 外 访问 无 线 局 域 网 ,捕获 网 络 中 传输 的 数据 。 不 过 ,入 侵 者 需要 获得 这 个 无 线 局 域 
网 的 网 络 访问 代码 。 

(3) 冒名 顶替 ,入 侵 者 可 以 将 自己 伪装 成 基站 ,因为 移动 设备 通常 会 将 自己 切换 登录 到 
信和 号 最 强 的 网 络 , 如 果 失 败 登录 则 尝试 下 一 个 网 。 由 此 方法 ,入 侵 者 可 以 获取 找 出 登录 者 的 
密 钥 和 口令 等 。 

IEEE 802. 11 无 线 局 域 网 采用 的 安全 机 制 主要 体现 在 3 个 方面 : 采用 RC4 加 密 算法 对 
信息 加 密 ; 采 用 两 种 认证 方法 ,共享 密 钥 认 证 和 开放 系统 认证 ; 密 钥 管理 ,采用 挑战 应 答 传输 
和 接收 密 钥 的 方式 。 

1. IEEE 802. 11 物理 层 的 安全 

无 线 局 域 网 使 用 的 扩 频 技术 主要 有 直接 序列 扩 频 (DSSS) 和 跳 频 扩 频 (FHSS) 技 术 ( 见 
表 3.8)。 直 接 序列 扩 频 先 采用 伪 随 机 码 对 信息 比特 进行 扩 频 调制 后 ,再 数字 调制 到 无 线 电 
载 频 上 ,如 果 窃 听 者 不 知道 伪 随 机 序列 码 就 不 能 从 无 线 电信 号 中 解 调 出 用 户 信息 。 跳 频 扩 
频 系统 是 让 无 线 电 载 频 按 照 某 规律 随机 跳 变 ,而 躲避 干扰 ,如 果 窃 听 者 不 掌握 跳 频 规律 ,就 
难于 获取 信息 ,甚至 不 能 判断 发 射 台 是 否 存在 。 这 在 保密 通信 和 领域 得 到 广泛 应 用 。 

2. IEEE 802. 11b 链 路 层 的 安全 

IEEE 802. 11b 标准 规定 了 有 线 等 价 保密 (WEP) 的 可 选 加 密 方案 。WEP 采用 属于 对 
称 流 密码 的 RC4 加 密 算法 ,支持 可 变 长 密 钥 ,用 于 对 数据 进行 加 密 。RC4 将 初始 化 矢量 
(Initialization Vector,IV) 与 共享 密 钥 K 两 部 分 经 过 “ 异 或 XOR" 运 算 形 成 密 钥 , 并 扩展 成 
为 任意 长 度 的 伪 随 机 比特 “ 密 钥 流 ”。 加 密 过 程 就 是 将 产生 的 密 钥 流 与 明文 信息 进行 “ 异 或 
XOR” 运 算 。 解 密 过 程 为 用 同样 的 基于 IV 和 K 产生 的 密 钥 流 ,与 密 文 信息 相 “ 异 或 XOR” 
运算 ,得 到 明文 。WEP 中 的 IV 长 度 为 24 位 。 

在 WEP 中 ,通信 的 报 文中 加 入 了 完整 性 校 验 码 (Integrity Check,IC) 以 检测 信息 的 完 
整 性 。 为 了 避免 使 用 重复 的 密 钥 流 ,WEP 对 每 个 包 使 用 不 同 的 初始 化 矢量 IV, 因 此 对 不 同 
的 数据 包产 生 不 同 的 RC4 密 钥 。 最 简单 的 做 法 就 是 让 IV 从 0 算 起 ,每 一 次 发 送 或 接收 一 
个 数据 包 ,IV 就 加 1, 而 IV 就 包含 在 通信 的 数据 报 文中 。 
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3. IEEE 802. 11b 网 络 层 的 安全 

IEEE 802. 11b 定义 了 3 种 机 制 来 提供 WLAN 的 访问 控制 和 保密 : 服务 配置 标识 符 
(Service Setup Identifier, SSID) ; 身份 认证 (Authentication ); 虚拟 专 网 (Virtual Private 
Network,VPN) 。 

服务 配置 标识 符 (SSID) 提 供 低 级 别 的 访问 控制 ,通常 是 无 线 局 域 网 子 系统 中 设备 的 网 
络 名 称 , 用 于 在 本 地 分 割 子 系统 。 访 问 接 人 点 (AP) 通 常 在 自己 的 信 标 中 广播 SSID ,很 容易 
被 获取 。 

IEEE 802. 11b 定义 了 两 种 身份 认证 方法 : 开放 式 和 共享 密 钥 式 。 身 份 认证 必须 在 每 
台 计 算 机 上 设置 ,并 且 与 访问 接 人 点 (AP) 匹 配 。 开 放 式 身 份 认 证 是 默认 的 方法 ,整个 验证 
过 程 以 明码 方式 在 无 线 信道 传输 ,即使 客户 机 没有 提供 正确 的 WEP 密 钥 ,也 能 与 AP 进行 
通信 。 在 共享 密 钥 方法 中 ,AP 发 送 给 客户 机 一 个 询问 信息 ,客户 机 必须 用 正确 的 WEP 密 
钥 对 它 进行 编码 ,并 把 编码 结果 返回 给 AP 进行 验证 。 如 果 客 户 机 提供 错误 的 密 钥 ,说 明 验 
证 失败 ,AP 不 会 允许 与 它 进 行 通信 。 

一 些 无 线 局 域 网 的 设备 支持 基于 客户 端 MAC 地 址 的 身份 认证 方法 ,只 有 客户 端的 
MAC 地 址 与 AP 使 用 的 验证 表 中 的 合法 地 址 相 匹配 ,AP 才 允 许 客户 机 与 它 进 行 通信 。 关 
于 虚拟 专 网 (VPN) 参 见 第 11 章 。 


3.6 本 章 小 结 


以 太 网 是 使 用 最 广泛 的 网 络 技 术 。 由 标准 以 太 网 衍生 出 目前 的 FE、GE、EPON 等 网 络 
技术 。IEEE 802. 3 定义 了 第 1 代 10Mbps 标准 以 太 网 , 它 使 用 1- 坚 持 CSMA/CD 媒体 接 入 
方法 。 以 太 网 的 数据 链 路 层 由 LLC 子 层 和 MAC 子 层 构成 。MAC 子 层 执行 CSMA/CD 的 
访问 策略 ,以 及 构成 以 太 帧 。 以 太 网 中 的 每 台 工作 站 的 NIC 网 卡 具 有 一 个 全 球 唯一 的 
48bit 长 的 MAC 地 址 。 

10Mbps 标准 以 太 网 的 最 短 帧 长 为 64B, 最 大 帧 长 为 1518B。 全 双 工 的 交换 式 以 太 网 扩 
展 了 每 个 网 段 的 容量 ,不 再 需要 CSMA/CD 的 媒体 接 人 策略 。 

快速 以 太 网 FE 的 速率 为 100Mbps。 常 用 的 模式 有 : 100Base-TX( 使 用 两 对 双 绞 线 电 
缆 )、100Base-FX( 使 用 两 根 光纤 ) .100Base-T4( 使 用 4 对 双 绞 线 电缆 ) 。 

千 兆 以 太 网 (GE) 的 速率 为 1Gbps。 它 的 媒体 接 人 方式 有 : 半 双 工 模式 (不 常用 ,采用 
传统 的 CSMA/CD 方 法) ,全 双 工 模式 (最 常用 ,不 需要 CSMA/VCD)。 常 用 的 千 兆 以 太 网 类 
型 有 : 1000Base-LX( 两 根 光纤 ,短波 长 激光 源 ),1000Base-LX( 两 根 光 纤 , 长 波长 激光 源 )， 
1000Base-T(4 对 双 绞 线 )。 

十 千 兆 以 太 网 (10GE) ,数据 速率 10Gbps, 使 用 两 根 光纤 ,全 双 工 交换 式 组 网 。 有 3 种 
常用 类 型 . 10G-Base-S、10G-Base-L、10G-Base-E。 

ARP 协议 的 目的 是 为 了 在 以 太 网 上 传输 IP 包 , 由 于 协议 缺乏 认证 机 制 , 易 导 臻 ARP 
欺骗 ,形成 中 间 人 攻击 ,网 络 用 户 传输 信息 被 自 改 和 泄露 。 另 一 类 ARP 攻击 是 广播 发 送 大 
量 请 求 包 阻塞 网 络 。 

DHCP 协议 是 为 了 给 网 络 主机 自动 配置 IP 地址 参数 ,其 服务 器 的 异常 广播 响应 能 阻塞 
网 络 。 
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以 太 网 无 源 光 纤 网 络 (EPON) 将 GE 的 应 用 扩展 到 城 域 网 范围 ,高 性 价 比 , 可 用 于 三 网 
融合 中 。 

IEEE 802. 11 无 线 局 域 网 定义 了 两 种 服务 : 基本 服务 集 (BSS) 和 扩展 服务 集 (ESS) 。 
在 分 布 式 协调 功能 (DCF) 的 MAC 子 层 中 采用 的 访问 无 线 电 信道 的 方法 是 CSMA/VCA。 在 
点 协调 功能 (PCF) 的 MAC 子 层 中 采用 的 访问 无 线 电 信道 的 方法 是 轮 询 polling。 网 络 分 配 
矢量 (NAV) 是 一 种 用 于 避免 冲突 的 定时 器 。 

无 线 局 域 网 的 MAC 帧 中 有 9 个 字段 ,可 以 包含 4 个 地 址 ,分 别 用 于 通信 双方 处 于 4 种 
不 同 的 位 置 情况 。 使 用 3 种 帧 : 管理 帧 .控制 帧 和 数据 帧 。IEEE 802. 11 定义 了 几 种 不 同 
的 物理 层 (无 线 电 和 光 信道 ), 有 不 同 的 数据 速率 和 调制 技术 。 


习题 与 实践 


1. 如 果 以 太 网 的 目的 地 址 是 07:01:02:03:04:05, 该 地 址 属于 单 播 、 多 播 还 是 广播 
类 型 ? 

2. 一 个 以 太 网 MAC 子 层 接收 到 来 自 上 层 (LLC) 的 42B 的 数据 。 该 子 层 必 须 将 多 少 
字 节 的 数据 加 到 填充 字段 ? 

3. 一 个 10Base-5 电缆 的 长 度 是 2. 5km, 如 果 在 粗 同 轴 电 缆 中 的 传播 速率 是 200 000km/s， 
那么 1bit 数据 从 网 络 始 端 传输 到 末端 需要 多 长 时 间 ? 〈 忽 略 设备 中 的 传播 延迟 ) 

4. 尽管 千 兆 以 太 网 假设 的 传输 速率 为 1Gbps, 但 是 ,1000Base-SX 规范 声明 了 时 钟 的 运 
行 速率 为 1250MHz。 这 里 超 高 的 时 钟 频率 是 为 了 提供 额外 的 安全 开销 吗 ? 如 果 不 是 , 那 会 
是 什么 ? 

5 是 一 个 动态 映射 协议 。 对 一 个 给 定 的 IP 地 址 ,利用 该 协议 可 以 找到 一 个 
对 应 的 物理 地 址 。 

a. ARP b. RARP c. ICMP d. 以 上 都 不 正确 

6. 当 协议 是 IP、 硬 件 是 以 太 网 时 ,一 个 ARP 分 组 的 长 度 是 多 少 字 节 ? 

7. 按照 第 7 章 介绍 的 操作 方法 ,(1) 查 看 并 分 析 自 己 计算 机 的 ARP 表 中 的 内 容 ,(2) 利 
用 Wireshark 捕获 自己 计算 机 网 络 接口 上 的 ARP 广播 请 求 包 和 返回 的 单 播 应 答 包 ,详细 分 
析 以 太 帧 中 各 字段 的 内 容 , 写 出 实验 报告 。 

8. 按照 第 7 章 介绍 的 方法 ,(1) 查 看 自己 计算 机 的 每 个 网 络 接口 的 IP 参数 配置 ,(2) 用 
命令 提示 符 的 指令 ,清空 计算 机 内 的 IP 参数 配置 ,重新 申请 。 利 用 Wireshark 捕获 计算 机 
网 络 接口 上 的 DHCP 广播 请 求 包 和 DHCP 服务 器 返回 的 广播 应 答 包 ,详细 分 析 以 太 帧 中 
各 字段 的 内 容 , 写 出 实验 报告 。 

9. 设置 自己 计算 机 中 各 网 络 接口 的 IP 地 址 配置 参数 .静态 和 动态 IP 地 址 配置 的 优 缺 
点 是 什么 ? 

10. 比较 CSMA/CD 和 CSMA/CA 的 区 别 。 

11. 一 个 带 有 _ 移动 性 的 站 点 能 够 从 一 个 ESS 移动 到 另 一 个 ESS。 

a. 不 迁移 b. BSS c. ESS d. (a) 和 (b) 

12. 使 用 Wireshark 网 络 协议 分 析 软 件 工具 ,在 一 台 以 太 网 计算 机 上 进行 以 下 数据 包 

的 捕获 分 析 实 验 : 各 种 协议 帧 的 流量 分 析 统 计 , 单 播 数据 帧 格式 分 析 , 广 播 数据 帧 格式 分 
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析 。 写 出 实验 分 析 报 告 

13. 有 线 等 价 保密 CWEP) 是 IEEE 802. 11 的 一 种 安全 加 密 机 制 ,其 目的 是 保证 可 靠 性 
和 数据 完整 性 ,并 通过 拒绝 非 WEP 包 来 达到 保护 对 网 络 的 连接 。 讨 论 它 的 缺陷 。 

14. 在 一 台 计 算 机 上 用 无 线 局 域 网 接 入 方式 登录 到 一 台 无 线路 由 器 上 (例如 家 庭 上 网 
的 无 线路 由 器 等 ) ,从 无 线路 由 器 的 网 络 状态 参数 列表 ( 见 图 3. 40) 中 读 出 以 下 数据 ,并 解释 
其 含义 , 写 出 实验 报告 : SSID, BSSID, channel, Maximum Link Speed, Encryption Mode， 
Authentication Mode，Fragment Threshold, RTS Threshold, Local MAC Address， 
RX Anetenna Selection, Tx Antenna Selection ,Device ID 。 

15. 访问 华为 公司 网 站 www. huawei. com. cn 和 中 兴 公 司 网 站 www. zte. com. cn ,查阅 
该 公司 的 EPON 的 产品 介绍 ,了 解 OLT 和 ONU 设备 可 实现 的 技术 指标 及 其 组 网 方案 , 写 
出 分 析 报 告 。 
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第 4 章 IPv4 和 IPv6 协议 及 其 安全 


第 1 章 介 绍 到 TCP/IP 协议 的 网 络 层 (也 称 为 互联 网 层 ) 的 作用 是 将 相互 独立 的 IP 包 
(packet, 也 称 为 分 组 ) 从 源 主 机 传输 到 目的 主机 (host to host 或 者 end to end) ,中 间 可 能 要 
经 过 各 种 不 同类 型 的 局 域 网 和 广域网 络 。 发 送 端的 网 络 层 从 传输 层 得 到 数据 段 (segment) 
后 ,添加 上 网 络 层 的 头 部 , 头 部 中 包含 了 发 送 端 和 接收 端的 IP 地 址 等 信息 。 当 不 同类 型 的 
网 络 和 链 路 相互 连接 起 来 ,就 构成 了 互联 网 ,通过 路 由 器 或 交换 机 将 包 传 输 到 目的 主机 ,网 
络 层 的 另 一 个 功能 是 路 由 选择 。 本 章 讨论 IPv4 和 IPv6 协议 ,以 及 从 IPv4 网 络 向 IPv6 网 
络 过 渡 的 几 种 技术 方案 。 其 中 包含 了 很 多 网 络 层 的 安全 应 用 实例 。 


4.1 互联 网 IP 地址 


互联 网 TCP/IP 协议 的 网 络 层 使 用 的 好 辑 地 址 是 IP 地 址 。IPv4 (Internet Protocol 
version 4) 的 地 址 有 32 位 长 ,新 的 IPv6( 互 联网 协议 版 本 6) 的 地 址 有 128 位 长 。 由 于 IPv6 
地 址 极 大 地 增加 了 可 用 地 址 的 数量 ,就 给 地 址 分 配 和 管理 带 来 更 多 的 灵活 性 。 这 里 先 讨论 
目前 广泛 使 用 的 IPv4 地 址 ,然后 讨论 IPv6 地 址 。 


4.1.1 IPv4 地 址 及 其 分 类 


互联 网 上 的 每 台 主 机 和 路 由 器 的 网 络 接口 都 需要 有 一 个 全 球 唯一 的 IP 地 址 来 进行 标 
识 , 这 样 才能 保证 IP 包 的 正常 寻 址 传输 。 由 于 IPv4 地 址 的 数量 有 限 ,可 以 采用 一 些 辅助 措 
施 来 扩展 地 址 的 使 用 范围 ,例如 ,利用 时 间 分 段 使 用 的 方式 ,在 某 个 时 间 段 内 指定 某 台 主机 
使 用 一 个 IP 地 址 , 另 一 个 时 间 段 内 将 此 IP 地 址 让 另 一 台 主 机 使 用 。 另 一 方面 ,如 果 一 台 
由 器 有 m 个 网 络 接口 ,需要 同时 连接 到 m 个 不 同 的 网 络 上 ,就 沉 要 有 mm 个 不 同 的 网 络 地 址 
来 标识 每 一 个 网 络 接 口 。 例 如 ,家 庭 网 络 用 户 使 用 的 PPPoE 路 由 器 有 两 个 网 络 接口 ,一 个 
接 家 庭 计 算 机 网 络 , 另 一 个 接 互联 网 服务 商 ISP 的 网 络 , 两 个 接口 上 都 设 有 IP 地 址 。 

1. IPv4 地 址 空间 

地 址 空间 (address space) 是 网 络 协议 所 能 使 用 的 所 有 地 址 的 总 数 。 如 果 一 个 协议 使 用 
的 地 址 有 NN 比特 ,那么 地 址 空间 就 是 2* ,因为 每 个 比特 可 以 有 两 个 不 同 的 值 (0 或 1), 因 此 
NN 比特 就 有 2X 个 不 同 组 合 的 值 。IPv4 使 用 32 比特 的 地 址 ,地 址 空间 为 2* 或 4294 967 296 
个 地 址 。 理 论 上 ,如 果 没 有 限制 的 话 ,IPv4 地 址 可 以 支持 四 十 多 亿 台 主机 ,但 事实 上 对 地 址 
的 使 用 有 一 些 限制 条 件 , 导 致 可 使 用 的 地 址 数量 远 少 于 此 值 。 

2. IPv4 地 址 的 表示 方式 

IPv4 地 址 有 3 种 表示 方式 : 二 进 制 数 表示 ,十 六 进 制 数 表示 和 256 进 制 数 表示 。256 进 制 
数 表示 的 卫 地 址 也 称 为 "Doted Decimal” 分 段 加 点 的 十 进 制 数 表示 , 详 见 附录 C 的 介绍 。 

(1) 二 进 制 数 的 IP 地 址 : IPv4 地 址 有 32 位 ,每 8 位 是 一 个 字 节 , 因 此 常用 4 字 节 分 段 
表示 。 例 如 : 01110101 10010101 00011101 00000010。 
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(2) 十 六 进 制 数 表示 的 IP 地 址 : 上 例 二 进 制 数 每 4 位 用 一 个 十 六 进 制 数 表示 
0x75 95 1D 02。 

(3) 256 进 制 数 表示 的 IP 地 址 : 为 了 使 IP 地 址 的 表示 更 紧凑 和 便于 阅读 ,互联 网 地 址 
常 分 为 4 段 , 每 段 8 比特 可 表示 256 个 符号 ,用 十 进 制 符号 表示 数值 范围 0 一 255, 段 间 用 符 
号 “.” 隔 开 。 例 如 ,上 例 的 二 进 制 地 址 的 256 进 制 数 表示 为 117. 149. 29. 2。 

3. IPv4 地 址 的 分 类 寻 址 

传统 上 ,将 IPv4 的 地 址 分 为 5 类 : A、B、C、D、E。 每 类 地 址 占据 IP 地 址 空间 的 一 部 
分 。 虽 然 这 种 分 类 方法 已 经 陈旧 过 时 了 ,但 在 此 还 是 进行 简要 介绍 。 

可 以 根据 一 个 IP 地 址 的 第 1 个 字 节 判断 它 属 于 哪 一 类 ,如 图 4. 1 所 示 。 如 果 是 二 进 制 


形式 ,用 第 1 字 节 的 前 几 个 比特 就 可 以 判定 它 的 类 别 。 如 果 是 十 进 制 分 段 表 示 , 用 第 1 个 字 
节 的 数值 所 处 的 范围 进行 判定 。 
第 1B 第 2B 第 3B 第 4B 第 IB 第 2B 第 3B 第 4B 

A 类 |0 A 类 |0~127 

p 关 [al p 关 [ES 国 9 

C 类 |110 C 类 [192223 

D 类 | 1110 D 类 | 224~239 

F 类 | 1111 F 类 |240~255 

(a) IP 地 址 的 二 进 制 数 表示 (b) IP 地 址 的 十 进 制 数 分 段 表示 
图 4.1 二 进 制 数 和 十 进 制 数 分 段 表示 的 IP 地 址 类 型 判别 


4. IPv4 分 类 地 址 和 地 址 块 

早先 设计 的 地 址 分 类 方式 存在 的 一 个 问题 是 ,每 一 类 地 址 都 被 划分 为 固定 数量 的 地 址 
块 ,每 个 地 址 块 包含 的 地 址 数量 都 是 固定 的 。 表 4. 1 所 示 为 IPv4 的 各 类 地 址 的 地 址 块 数 
量 .每 个 地 址 块 所 含 的 地 址 数 ,以 及 应 用 方式 。 


表 4.1 各 类 地 址 的 地 址 块 大 小 及 应 用 


地 址 块 的 数量 每 块 所 含 地 址 数 


地 址 类 别 


B 16 384 单 播 
C 2 097 152 单 播 
D 268 435 456 多 播 


268 435 456 


从 表 4. 1 中 可 以 看 出 每 类 地 址 的 地 址 块 的 大 小 。A 类 地 址 是 设计 了 供 大 型 的 组 织 机 构 
使 用 的 ,每 个 组 织 机 构 使 用 一 个 地 址 块 ,每 个 地 址 块 有 一 千 六 百 万 个 网 络 主机 和 路 由 器 地 
址 。B 类 地 址 是 设计 了 供 中 等 规模 的 组 织 机 构 使 用 的 ,每 个 组 织 使 用 一 个 地 址 块 ,每 个 地 址 
块 有 六 万 五 千 多 个 网 络 主机 和 路 由 器 地 址 。C 类 地 址 是 设计 了 供 小 单位 部 门 使 用 的 ,每 个 
地 址 块 只 有 256 个 主机 和 路 由 器 地 址 。 

这 种 地 址 分 类 方式 的 缺点 是 ,每 个 A 类 地 址 块 所 包含 的 地 址 数 对 任何 单位 部 门 都 太 多 
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了 ,这 意味 着 大 部 分 A 类 地 址 都 要 被 浪费 和 闲置 。 一 个 也 类 地 址 块 有 六 万 五 千 多 个 地 址 ,对 
于 大 多 数 单位 和 部 门 也 都 嫌 多 。 而 C 类 地 址 的 每 个 地 址 块 的 数量 对 大 多 数 部 门 又 嫌 少 了 。 
D 类 地 址 设计 了 用 于 互联 网 的 组 播 应 用 ,设计 者 曾经 预测 互联 网 的 组 播 的 最 大 组 数 为 
268 435 456 组 ,但 这 种 需求 从 未 出 现 过 ,大 量 地 址 也 浪费 了 。 王 类 地 址 保留 给 将 来 使 用 ,也 导致 
了 大 量 的 网 络 地 址 空间 的 浪费 。 因 此 这 种 地 址 分 类 的 方式 浪费 了 大 量 可 用 的 互联 网 IPv4 地 址 。 

5. IPv4 网 络 的 ID 标识 和 主机 ID 标识 

在 分 类 地 址 中 ,A、B.、C 类 地 址 被 分 为 网 络 ID 和 主机 ID 两 部 分 。 在 图 4. 1 中 ,网 络 ID 
的 部 分 用 灰色 表示 ,主机 ID 的 部 分 用 白色 表示 。 注 意 ,这 种 概念 不 用 于 了 DD 类 和 玉 类 IP 地 
址 。 在 A 类 地 址 中 ,第 1 位 是 地 址 类 别 , 第 2 一 8 位 是 网 络 ID, 后 3 个 字 节 共 24 位 是 主机 
ID。B 类 地 址 中 ,第 1~2 位 是 地 址 类 别 ,第 3 一 16 位 为 网 络 ID ,第 17 一 32 位 是 主机 ID。 
C 类 地 址 中 ,第 1 一 3 位 是 地 址 类 别 ,第 4 一 24 位 为 网 络 ID, 第 25 一 32 位 为 主机 ID。 

6. 子 网 掩 码 (mask) 

虽然 网 络 ID 和 主机 ID 的 长 度 是 分 类 网 址 中 预先 设 定 了 的 ,但 是 可 以 用 子 网 掩 码 来 区 
分 网 络 ID 和 主机 ID 在 网 络 地 址 中 的 位 置 。 子 网 掩 码 长 度 32 位 ,由 连续 的 1 和 连续 的 0 构 
成 。 表 4.2 是 A、B、C 类 地 址 的 默认 子 网 掩 码 。 子 网 掩 码 不 用 于 DD 类 和 下 类 地 址 。 


表 4.2 A、B.C 类 地 址 的 默认 子 网 掩 码 
类 别 二 进 制 表示 十 进 制 分 段 表 示 CIDR 表示 


B 11111111 11111111 00000000 00000000 255. 255.0.0 /16 
C 11111111 11111111 11111111 00000000 255. 255. 255.0 /24 


利用 子 网 掩 码 可 以 很 方便 地 区 分 出 IP 地 址 中 的 网 络 ID 和 主机 ID。 将 二 进 制 的 子 网 
掩 码 与 二 进 制 的 IP 地 址 进行 上 下 比特 对 齐 , 进 行 “与 ”运算 ,就 可 得 到 网 络 ID, 即 子 网 掩 码 
为 1 的 比特 所 对 应 的 IP 地 址 部 分 就 是 网 络 ID。 例 如 ,A 类 地 址 的 子 网 掩 码 的 第 1 字 节 都 
是 1, 那么 A 类 IP 地址 的 第 1 字 节 是 网 络 ID, 其 余 的 第 2 一 4 字 节 是 主机 ID。 

表 4.2 的 最 右 列 用 “/n” 表 示 子 网 掩 码 ,n 为 子 网 掩 码 中 左边 所 含 1 的 个 数 。 对 于 A 类 
地 址 ,n 二 8。 对 于 B 类 地 址 ,n 二 16。 对 于 C 类 地 址 ,n 二 24。 这 种 表示 方法 称 为 “ 斜 杠 /” 表 
示 ,或 “无 类 域 间 路 由 (Classless Inter-Domain Routing ,CIDR)” 表 示 。CIDR 方式 用 于 无 类 
网 络 地 址 ,也 可 用 于 分 类 网 络 地 址 。 从 下 面 的 介绍 可 以 看 出 ,分 类 网 络 地 址 是 无 类 网 络 地 址 
的 一 种 特例 。 

7. 子 网 划分 (Sub Netting) 

在 分 类 地 址 盛行 的 时 期 ,出 现 了 子 网 划分 的 概念 。 如 果 一 个 部 门 机 构 得 到 了 一 个 很 大 
数量 的 A 类 或 也 类 地 址 块 , 可 以 把 地 址 块 划分 为 若干 个 较 小 的 连续 地 址 号 的 网 络 组 , 称 为 
子 网 划分 。 子 网 划分 通过 增加 默认 掩 码 中 的 1 的 个 数 来 实现 ,后 面 还 要 详细 讨论 。 

8. 超 网 划分 (Super Netting) 

A 类 和 B 类 网 络 地 址 很 快 就 被 分 配 用 完了 .但 是 对 中 等 规模 的 网 络 地 址 块 的 需求 量 仍 
然 巨大 。C 类 网 络 地 址 块 最 多 只 有 256 个 地 址 ,对 于 大 多 数 单位 部 门 是 不 够 用 的 。 一 种 解 
决 方案 是 超 网 划分 。 一 个 单位 可 以 有 多 个 C 类 地 址 块 , 例 如 ,如 果 一 个 单位 需要 1000 个 网 
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络 主机 地 址 ,可 以 申请 获得 4 个 连续 的 C 类 地 址 块 ,然后 利用 这 4 个 C 类 地 址 块 来 构成 一 
个 超 网 。 超 网 的 划分 利用 减少 默认 掩 码 中 1 的 个 数 来 实现 。 例 如 ,如 果 一 个 单位 有 4 个 连 
续 的 C 类 地 址 块 ,那么 将 子 网 掩 码 从 默认 的 /24 减少 为 /22。 后 面 将 会 看 到 ,采用 无 类 地 址 
划分 将 消除 对 超 网 划分 的 需求 。 

9. IPv4 地 址 短缺 的 解决 方案 

由 于 互联 网 主机 数量 的 迅速 增长 ,按照 网 络 地 址 分 类 的 方案 几乎 很 快 就 将 可 用 的 地 址 耗 
尽 了 ,然而 互联 网 的 设备 主机 的 数量 远 未 达到 2” 个 的 地 址 空间 。 于 是 出 现 了 无 类 地 址 分 配 和 
网 络 地 址 转换 NAT 等 方案 。 如 今 ,分 类 地 址 的 方案 已 经 几乎 被 无 类 地 址 的 方案 所 取代 。 

10. 几 个 特殊 的 IPv4 地 址 

(1) IPv4 地 址 0.0. 0. 0 表示 任意 值 的 地 址 。 例 如 , 当 一 台 没有 设置 IP 地 址 的 计算 机 初 
次 接 人 以 太 网 时 ,就 利用 0. 0. 0.0 作为 源 IP 地 址 ,向 局 域 网 上 的 DHCP 服务 器 广播 请 求 分 
配 一 组 IP 配置 参数 。 参 看 第 3 章 DHCP 协议 的 介绍 。 或 者 网 络 主机 利用 此 地 址 向 网 络 公 
开 自 己 的 开放 端口 ,参看 第 7. 1 节 的 介绍 。 

(2) IPv4 地 址 127. 0. 0. 1 为 本 机 网 络 接口 的 回 传 地 址 。 例 如 ,利用 DOS 命令 ping 
127.0. 0.1 来 测试 本 机 网 卡 是 否 工作 正常 (参看 第 7. 1 节 )。 利 用 浏览 器 访问 安装 在 本 机 上 
的 Web 网 页 时 ,可 将 此 地 址 作为 URL 中 目的 主机 的 IP 地 址 ,如 http: //127.0.0.1: 80/。 
具有 此 地 址 的 IP 包 不 会 发 送 到 网 络 上 。 

(3) IPv4 地 址 255. 255. 255. 255 为 广播 地 址 。 例 如 , 当 执 行 DHCP 协议 进行 主机 的 IP 
地 址 参数 自动 配置 时 ,客户 端 和 服务 器 都 用 它 作为 目的 IP 地 址 广播 ,参看 第 3. 2 节 。 


4.1.2 无 类 IP 地 址 分 配 


为 了 克服 网 络 IP 地 址 的 短缺 ,让 更 多 的 单位 机 构 加 入 互联 网 ,出 现 了 无 类 IP 地 址 分 配 
方案 (Classless Addressing)。 在 此 方案 中 ,IP 地 址 不 再 按照 5 类 划分 ,但 还 是 以 地 址 块 的 
方式 进行 分 配 。 

1. 无 类 IP 地 址 的 地 址 块 

在 无 类 地 址 分 配方 案 中 ,如 果 有 一 个 单位 的 计算 机 (无 论 数量 多 少 ) 需 要 接 人 互联 网 ,可 
以 分 配给 一 个 地 址 块 , 即 连续 的 一 段 IP 地 址 号 。 地 址 块 的 大 小 根据 二 进 制 数 的 性 质 和 单位 
的 计算 机 数量 决定 。 例 如 ,一 个 家 庭 可 能 只 要 两 个 IP 地 址 ,一 个 大 单位 则 需要 几 千 个 IP 地 
址 ,一 个 互联 网 服务 提供 商 (ISP) ,根据 客户 的 多 少 ,可 能 需要 几 万 个 IP 地 址 。 

2. 无 类 地 址 块 的 分 配 条 件 

为 了 简化 IP 地 址 的 管理 ,互联 网 权威 机 构 对 无 类 地 址 块 的 分 配制 订 了 如 下 限制 条 件 : 

(1) 一 个 地 址 块 内 的 地 址 号 数 必须 是 连续 的 。 

(2) 一 个 地 址 块 内 的 地 址 数量 必须 是 2 的 指数 (1.2.4.8.16.32.…) 。 

(3) 地 址 块 中 的 第 一 个 IP 地 址 号 的 十 进 制 表示 必须 能 够 被 地 址 块 内 的 地 址 数量 整除 。 

例如 ,图 4.2 是 某 公司 申请 到 的 一 个 地 址 块 的 二 进 制 和 十 进 制 分 段 表 示 , 共 有 16 个 IP 
地 址 。 可 以 看 到 它 满足 上 述 限制 条 件 。 首 先 ,地 址 号 数 是 连续 的 ,前 3B 相同 ,第 4B 的 值 为 
32 一 47。 地 址 数量 16 王 2 。 第 一 个 IP 地 址 可 以 被 地 址 数 16 整除 , 它 的 十 进 制 分 段 表 示 是 
205. 16. 37. 32 ,将 分 段 去 掉 , 即 按照 附录 C 的 方法 将 它 转换 为 十 进 制 数 , 它 等 于 3 440 387 360， 
被 16 整除 后 , 商 是 215 024 210。 在 附录 C 中 详细 介绍 了 常用 的 二 进 制 数 十 六 进 制 数 、 
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256 进 制 数 与 十 进 制 数 之 间 的 转换 算法 。 


第 1 个 IP 地 址 一 | 205.16.37.32 11001101 00010000 00100101 00100000 

205.16.37.33 11001101 00010000 00100101 00100001 

第 16 个 中 地 址 一 一 205.16.37.47 11001101 00010000 00100101 00101111 
(a) 十 进 制 分 段 地 址 块 (b) 二 进 制 地 址 块 


图 4.2 某 公司 申请 到 的 含 16 个 IP 地 址 的 块 


3. 无 类 IP 地 址 的 子 网 掩 码 

前 面 已 经 讨论 过 , 子 网 掩 码 有 32 位 ,最 左边 是 个 1, 右边 是 (32 一 n) 个 0。 无 类 IP 地 
址 分 配方 案 中 的 子 网 掩 码 中 1 的 个 数 可 以 在 0 一 32 之 间 选 择 。 因 此 ,采用 “/n” 的 CIDR 表 
示 方 法 很 方便 ,n 是 掩 码 中 左边 1 的 个 数 。 

IPv4 的 地 址 块 可 表示 为 x. y. z. tm 其 中 x.y.z.t 是 地 址 块 中 的 一 个 IP 地址 ,/n 是 子 
网 掩 码 。 这 种 表达 方式 可 以 代表 整个 地 址 块 中 的 地 址 。 

(1) 地 址 块 中 的 第 1 个 卫 地 址 : 就 是 将 二 进 制 IP 地 址 中 最 右边 的 32 一 nn 个 比特 设 为 
0 的 地 址 。 

(2) 地 址 块 中 的 最 后 1 个 IP 地址 : 就 是 将 二 进 制 IP 地 址 中 最 右边 的 32 一 n 个 比特 设 
为 1 的 地 址 。 

(3) 地 址 块 中 的 地 址 个 数 : 就 是 将 二 进 制 IP 地 址 块 中 最 后 一 个 地 址 减 去 第 一 个 地 址 的 
余数 。 也 可 以 直接 计算 ,等 于 2s "个 地 址 。 

(4) 地 址 块 中 的 网 络 地 址 : 当 某 个 单位 获得 了 一 个 地 址 块 后 ,就 可 以 将 地 址 块 内 包含 
的 IP 地 址 自由 地 分 配给 单位 内 部 的 需要 连接 到 互联 网 的 主机 使 用 。 但 是 ,地 址 块 中 的 第 
1 个 地 址 是 一 个 特殊 的 地 址 一 一 本 网 络 地 址 , 它 不 能 分 配给 内 网 的 任何 主机 ,用 于 向 外 部 互 
联网 标识 本 单位 的 整个 网 络 。 一 般 情况 外 部 互联 网 发 向 内 网 主机 的 IP 包 先 发 到 本 单位 的 
这 个 网 络 ID。 

例如 ,参看 图 4. 2 和 图 4. 3, 已 知 某 公司 有 个 IP 是 205. 16. 37. 39/28 ,那么 该 公司 网 络 
的 地 址 管理 和 分 配 计算 如 下 : 


公司 网 络 
互联 网 上 所 有 目的 地 人 205.16.37.33/28 
址 是 205.16.37.32~ 


205.16.37.47 的 IP 包 都 


路 由 转发 到 xy.z.Un 205.16.37.34/28 中 


205.16.37.40/28 


全 站 区 让 了 本 路 由 器 
205.16.37.46/28 
205.16.37.47/28 
网 络 地 址 sem 


205.16.37.32/28 


图 4.3 某 公司 的 网 络 地 址 块 205. 16. 37. 32/28 的 网 络 配置 
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@ 地 址 块 中 的 第 1 个 耳 地 址 。 将 205. 16. 37. 39 表示 为 二 进 制 : 11001101 00010000 
00100101 00100111。 将 右边 的 (32 一 28) 个 二 进 制 数 置 0, 得 到 11001101 00010000 00100101 
00100000 ,换算 成 十 进 制 分 段 表示 为 205. 16. 37. 32。 这 是 该 子 网 的 网 络 地 址 ,大 多 数 情况 下 ， 
此 地 址 不 分 配给 该 公司 网 内 的 设备 使 用 ,而 是 外 网 路 由 器 用 于 向 本 子 网 转发 信息 。 

@ 地 址 块 中 的 最 后 1 个 IP 地址。 将 上 述 二 进 制 地 址 中 最 右边 的 (32 一 28) 个 数 置 1 ,得 
到 11001101 00010000 00100101 00101111, 十 进 制 分 段 表 示 为 205. 16. 37. 47。 

@ 地 址 块 中 的 地 址 总 数 王 232 2 二 2 二 16。 

@ 该 公司 的 网 络 可 以 配置 如 下 : 

该 公司 的 网 络 通 过 一 个 路 由 器 连接 到 互联 网 ,该 路 由 器 有 两 个 网 络 接口 ,每 个 接口 有 一 
个 IP 地址。 第 一 个 网 络 接口 连接 到 内 部 网 络 ,其 IP 地 址 为 205. 16. 37. 40/28 ,此 地 址 属于 
本 公司 的 地 址 块 ,一 般 设 为 内 网 出 口 的 默认 网 关 。 第 二 个 网 络 接口 连接 到 外 部 互联 网 ,其 
IP 地 址 由 外 网 管理 员 分 配 , 它 取决 于 外 网 的 地 址 分 配 情况 ,因此 用 x. y.z.t/n 表示 。 来 自 外 
部 互联 网 的 所 有 目的 地 址 为 205. 16. 37. 32 一 205. 16. 37. 47 的 IP 包 , 都 被 直接 或 间接 地 转 
发 到 本 路 由 器 地 址 x. y. z.t/n。 该 地 址 块 中 的 16 个 IP 地 址 中 ,网 络 地 址 和 路 由 器 地 址 占用 
了 2 个 ,因此 最 多 可 以 接 2' 一 2 二 14 台 内 部 主机 。 

4. IP 地 址 的 分 层次 结构 

以 电话 号 码 为 例 。 目 前 使 用 的 十 进 制 电话 号 码 是 分 层次 的 地 址 ,一般 可 分 4 个 层次 ,不 
同 地 区 的 每 层 的 号 码 位 数 可 能 不 同 。 第 1 层 为 国家 代码 3 位 (例如 中 国 为 086) ,第 2 层 为 
区 号 代码 4 位 (例如 杭州 地 区 为 0571) ,第 3 层 为 当地 交换 机 代码 3 位 (例如 503) ,第 4 层 为 
本 地 电话 机 的 连接 号 码 4 位 (例如 1132) 。 

IP 地 址 是 分 层次 的 地 址 ,没有 子 网 时 为 2 层 , 有 子 网 时 分 为 3 层 或 更 多 。 

(1) 无 子 网 时 PP 地址 可 分 为 2 层 ,IP 地 址 x.y.z.t/n 的 左边 nn 位 是 网 络 地 址 ,也 称 为 前 缀 
(prefix) ,代表 着 组 织 机 构 的 网 络 号 。 右 边 32 一 n 位 是 网 络 内 的 主机 地 址 ,也 称 为 后 缀 
(Suffix) 。 

(2) 当 有 子 网 时 IP 地 址 可 分 为 3 层 。 如 果 一 个 单位 具有 一 个 较 大 的 地 址 块 ,为 了 便于 
管理 ,可 以 将 地 址 块 分 为 若干 子 网 ,将 单位 内 的 主机 IP 地 址 分 配 到 不 同 的 子 网 内 。 从 外 部 
网 络 看 ,该 单位 的 网 络 仍然 是 一 个 整体 ,但 内 部 分 为 若干 子 网 。 所 有 进出 该 网 络 的 IP 包 都 
送 到 位 于 外 网 与 内 网 之 间 的 路 由 器 地 址 ,路 由 器 将 这 些 IP 包 分 送 到 相应 的 子 网 。 内 部 网 络 
需要 进行 子 网 划分 ,单位 的 IP 地 址 块 有 自己 的 掩 码 , 各 子 网 也 有 各 自 的 子 网 掩 码 。 

例如 , 某 公司 申请 获得 一 个 地 址 块 17. 12. 40.0/26, 含 有 64 个 IP 地 址 。 该 公司 有 3 个 
部 门 办 公 室 ,从 安全 和 管理 的 方面 考虑 ,需要 将 这 些 地 址 分 为 3 个 子 网 , 子 网 掩 码 分 别 
为 /n1、/n2 和 /n3。 各 子 网 的 主机 地 址 数量 为 32、16 和 16。 子 网 的 掩 码 计算 方法 如 下 : 

子 网 掩 码 /nl : 因为 该 子 网 的 主机 数量 为 32 王 2 " ,满足 此 式 的 nl 二 27。 

子 网 掩 码 /n2: 该 子 网 的 主机 数量 为 16 王 232? "2 ,满足 此 式 的 n2 一 28。 

子 网 掩 码 /n3 : 该 子 网 的 主机 数量 为 1 一 2 "” ,满足 此 式 的 n3 一 28。 

图 4.4(a) 是 该 公司 的 网 络 结构 方案 之 一 。 注 意 ,用 掩 码 /26 可 以 从 块 内 所 有 IP 地 址 中 
得 到 总 的 网 络 地 址 17. 12. 14. 0。 

图 4. 4(b) 为 此 例 中 将 网 络 地 址 块 划分 为 3 个 子 网 后 ,形成 的 3 层次 的 IP 地 址 。 注 意 ， 
子 网 1.2 和 3 的 前 绥 长 度 不 同 。 
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17.12.14.64/28 
17.12.14.30/27 


17.12.14.31/27 世 公司 网 络 地 址 全 17.12.14.63/28 
子 网 n1 17.12.14.0/26 。 子 网 n3 
» 本 


17.12.14.48/28 


ee 17.12.14.2/27 17.12.14.50/28 ee 
12.142 | ee 1214. 
1 |Ss E3 17.12.14.47/28 
| 上 xyz 1102143428 -| 
"wm BF ms 
互联 网 & 本 沁 17.12.14.33/28 
(a) 某 公司 网 络 的 子 网 划分 与 配置 方案 
子 网 1 子 网 2 和 3 
26 位 1| 5 位 | 26 位 ?| 4 位 | 
1 ”网 络 前 级 1 1 1 1 网 络 前 组 1 | ! 
OO He 一 一 一 一 
1 子 网 前 级 1 ee 2 子 网 前 组 1 I 
- 主机 地 址 1 - 主机 地 址 到 


(b) 此 例 中 划分 子 网 后 IPv4 地 址 有 3 个 层次 
图 4.4 子 网 划分 方案 及 IP 地 址 划分 


(3) IP 地 址 可 分 为 更 多 的 层次 。 上 述 关于 无 类 IP 地 址 分 配方 案 可 以 延伸 到 更 多 层次 
的 情况 。 当 一 个 部 门 拥 有 一 个 地 址 块 后 ,可 以 将 它 分 为 若干 子 块 , 而 每 个 子 块 又 可 以 进一步 
划分 为 更 小 的 子 块 。 例 如 ,对 于 一 个 国家 范围 的 互联 网 服务 提供 商 (ISP), 可 以 将 其 地 址 块 
分 为 若干 子 块 给 其 省 级 的 ISP 使 用 ,省 级 子 块 又 可 以 划分 为 地 区 级 ,市 级 .单位 级 ,等 等 。 

5. IP 地 址 的 分 配 与 获取 

全 球 互 联网 IP 地 址 的 管理 机 构 是 互联 网 域名 与 地 址 分 配 组 织 (Internet Corporation 
for Assigned Names and Addresses,ICANN)。 但 是 ICANA 并 不 负责 具体 的 单位 和 部 门 
的 IP 地 址 块 的 分 配 , 它 将 大 的 地 址 块 分 给 ISP, 再 由 ISP 逐步 分 到 具体 的 单位 部 门 ,再 由 部 
门 网 络 管理 员 分 配 或 自动 地 动态 分 配 到 具体 的 网 络 主机 。 

例如 , 某 互 联网 提供 商 (ISP) 申 请 获得 了 一 个 地 址 块 , 起 始 号 为 190. 100. 0. 0/16 ,共有 
65 536 个 IP 地 址 。ISP 需要 将 这 些 IP 地 址 分 配给 以 下 3 组 客户 单位 和 部 门 : 

第 一 组 有 64 个 客户 单位 ,每 个 单位 需要 256 个 IP 地 址 ,第 二 组 有 128 个 客户 单位 ,每 
个 单位 需要 128 个 IP 地 址 ,第 三 组 有 128 个 客户 单位 ,每 个 单位 需要 64 个 IP 地 址 。 

现在 需要 设计 这 3 个 地 址 块 , 并 计算 分 配 后 还 剩余 多 少 可 用 的 IP 地 址 。 类 似 图 4.4 的 
例子 。 

(1) 第 一 组 : 每 个 客户 单位 需要 256 个 IP 地 址 , 即 8 位 (log:128) , 子 块 IP 地 址 的 前 级 
长 度 为 32 一 8 二 24。 这 些 地 址 是 : 

第 1 个 客户 单位 的 地 址 范围 : 190. 100. 0. 0/24,… ,190. 100. 0. 255/24。 

第 2 个 客户 单位 的 地 址 范围 : 190. 100. 1.0/24,… .190. 100. 1. 255/24。 


第 64 个 客户 单位 的 地 址 范围 : 190. 100. 63. 0/24,… ,190. 100. 63. 255/24。 

第 一 组 的 IP 地 址 总 数 二 64X256 二 16 384。 

(2) 第 二 组 : 每 个 客户 单位 需要 128 个 卫 地 址 , 即 7 位 (log:128),IP 地 址 子 块 的 前 组 
长 度 为 32 一 7==25。 这 些 地 址 是 : 

第 1 个 客户 单位 的 地 址 范围 : 190. 100. 64. 0/25 ,… ,190. 100. 64. 127/25。 

第 2 个 客户 单位 的 地 址 范围 : 190. 100. 64. 128/25,… ,190. 100. 64. 255/25。 

第 128 个 客户 单位 的 地 址 范围 : 190. 100. 127. 128/25,… ,190. 100. 127. 255/25。 

第 二 组 的 IP 地 址 总 数 二 128X128 二 16 384。 

(3) 第 三 组 : 每 个 客户 单位 需要 64 个 IP 地 址 , 即 6 位 (log:64),IP 地 址 块 的 前 级 长度 
为 32 一 6 二 26。 这 些 地 址 是 : 

第 1 个 客户 单位 的 地 址 范围 : 190. 100. 128. 0/26,…,190. 100. 128. 63/26。 

第 2 个 客户 单位 的 地 址 范围 : 190. 100. 128. 64/26,…,190. 100. 128. 127/26。 

第 128 个 客户 单位 的 地 址 范围 : 190. 100. 159. 192/26 ,… ,190. 100. 159. 255/26 。 

第 三 组 的 IP 地 址 总 数 于 128X 64 一 8192。 

因而 ,此 互联 网 服务 提供 商 获得 的 IP 地 址 总 数 为 65 536 ,分 配给 客户 的 IP 地 址 总 数 为 
40 960。 剩 余 IP 地 址 为 24 576 。 


4.1.3 网 络 地 址 转换 (NAT) 


目前 有 越 来 越 多 的 家 庭 和 小 企业 单位 用 户 需 要 接 入 互联 网 。 早 期 的 家 庭 用 户 通 过 电话 
线 拨号 方式 上 网 ,他 们 使 用 互联 网 的 时 间 有 限 ,因此 互联 网 服务 商 (ISP) 就 将 自己 拥有 的 地 
址 块 内 的 地 址 动态 地 临时 分 配给 这 些 用 户 使 用 , 当 一 个 用 户 上 网 结束 后 ,该 IP 地 址 又 可 临 
时 分 配给 其 他 需要 的 用 户 使 用 。 但 是 如 今 的 情况 不 同 了 ,很 多 家 庭 用 户 和 小 企业 用 户 有 多 
台 计 算 机 和 自己 的 小 网 络 , 通 过 ADSL 或 调制 解 调 器 接 人 互联 网 ,他 们 不 再 满足 于 只 有 一 
个 卫 地 址 。 由 此 导致 耻 地 址 的 严重 短缺 。 

解决 IP 地 址 短缺 的 一 个 方案 是 网 络 地 址 转换 (Network Address Translation, NAT)。 
NAT 可 以 让 单位 私有 网 络 内 部 使 用 大 量 的 私有 IP 地 址 ,而 共享 少量 对 外 连接 的 公 网 IP 地 
址 。NAT 的 转换 方式 有 5 种 : 基于 地 址 对 象 的 源 地 址 转换 ,基于 属性 的 源 地 址 转换 ,基于 
来 自 外 网 的 包 中 的 IP 目的 地 址 转换 ,基于 端口 的 目的 地 址 转换 ,双向 IP 地 址 转换 。 本 节 仅 
介绍 基础 知识 ,与 防火 墙 组 合 应 用 的 案例 参看 第 9. 3. 1 节 。 

互联 网 管理 机 构 为 内 部 网 络 用 户 划分 了 3 段 私 有 网 络 IP 地 址 ,如 表 4. 3 所 示 。 


表 4.3 3 段 私有 网 络 的 IP 地 址 


私有 IP 地 址 范围 用 途 
10. 0. 0. 0 一 10. 255. 255. 255 可 用 于 大 型 私有 网 络 
172. 16. 0. 0 一 172. 31. 255. 255 可 用 于 中 型 私有 网 络 
192. 168. 0. 0 一 192. 168. 255. 255 可 用 于 小 型 私有 网 络 
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任何 单位 和 个 人 都 可 以 在 自己 的 私有 网 络 内 使 用 这 些 私有 IP 地 址 ,不 需要 经 过 任何 审 
批 。 这 些 地 址 不 能 在 公 网 使 用 ,任何 路 由 器 都 不 会 转发 目的 地 址 为 这 些 地 址 的 IP 包 。 对 于 
这 些 使 用 私有 地 址 的 内 网 可 以 通过 一 个 路 由 器 连接 到 公 网 ,路 由 器 上 运行 NAT 软件 ,进行 
内 部 网 络 私有 IP 地 址 与 公 网 IP 地 址 的 转换 ,如 图 4.5 所 示 。 


广 -- Em 六 六 二 
1 172.18.3.1 172.18.3.2 172.13.3.20 


SHS on 


| 
内 部 网 络 172.18.3.30 200.24.5.8 


图 4.5 网 络 地 址 转换 NAT 实例 


图 4.5 中 ,内 部 网 络 的 主机 使 用 私 网 IP 地 址 ,通过 一 个 路 由 器 与 互联 网 相连 接 。 路 由 
器 的 内 部 网 络 接口 使 用 一 个 私 网 地 址 ,内 部 主机 将 其 设 为 网 关 地 址 。 外 部 网 络 接口 使 用 一 个 
公 网 卫 地 址 。 从 互联 网 数据 中 不 能 看 到 内 部 网 络 的 地 址 情况 ,只 看 到 地 址 为 200. 24. 5.8 的 
NAT 路 由 器 ,因此 NAT 能 对 外 屏蔽 内 网 结构 。 

1. NAT 路 由 器 将 外 出 包 的 源 地 址 替换 为 自己 的 外 网 地 址 

从 内 网 主机 发 向 外 部 的 所 有 IP 包 都 要 发 到 NAT 路 由 器 的 内 网 接口 (本 地 网 关 ) , 它 将 
主机 外 发 IP 包 中 的 源 IP 地 址 转换 为 NAT 的 公 网 IP 地 址 。 所 有 从 公 网 进入 内 网 的 卫 包 
也 都 发 到 NAT 路 由 器 的 外 网 接口 上 , 它 将 IP 包 中 的 目的 地 址 (NAT 的 公 网 地 址 ) 转 换 为 
内 部 主机 的 私 网 IP 地 址 。 图 4. 6 为 一 个 地 址 转换 例子 。 


| 172483.1 源 : 172.18.3.1 NAT 源 : 200.24.5.8 


| -路 由 器 ee 
| C3 互联 网 
| -LN -LN 


;内 部 网 络 
L_ 目的: 172.18.3.1 .1 目的: 200.24.5.8 


图 4.6 NAT 地 址 转换 路 由 器 


2. NAT 路 由 器 将 返回 包 的 目的 地 址 替换 为 内 部 主机 地 址 

当 NAT 路 由 器 将 内 部 主机 的 IP 包 发 向 外 部 网 络 时 ,把 源 地 址 转换 成 路 由 器 自己 的 地 
址 的 操作 是 很 直接 的 。 但 是 当 NAT 路 由 器 将 互联 网 返回 给 内 网 主机 的 IP 包 进 行 转换 时 ， 
则 通过 查询 NAT 路 由 器 的 交易 记录 表 (Transaction Table) 来 解决 。 因 为 内 网 可 能 有 成 千 
上 万 个 私有 IP 地 址 ,每 个 IP 地 址 属于 一 台 主 机 。 

(1) 内 网 主机 共享 使 用 一 个 公 网 IP 地 址 的 情况 。 最 简单 的 情况 是 内 部 网 络 共享 一 个 
外 部 公 网 IP 地 址 ,此 时 NAT 的 地 址 转换 表 只 有 两 列 : 内 部 私有 地 址 和 外 部 公 网 地 址 
(IP 包 的 目的 地 址 )。 当 NAT 路 由 器 将 外 出 包 的 源 地址 进行 转换 时 ,也 记录 了 该 IP 包 的 目 
的 地 址 (外 部 主机 )。 当 收 到 外 部 主机 返回 对 该 包 的 响应 时 ,路 由 器 使 用 来 自 外 部 主机 的 
IP 包 中 的 源 地 址 来 判断 该 包 是 对 内 部 哪 一 台 私 有 主机 的 早先 请 求 的 响应 ,因此 就 发 向 内 部 
的 那 台 私 网 地 址 的 主机 。 图 4.7 描述 了 这 一 过 程 : 当 内 网 有 一 个 IP 包 发 向 外 网 时 ,就 建立 
一 个 交易 记录 表 , 根 据 此 表 来 确定 该 包 的 返回 响应 包 该 转发 到 内 网 的 哪 一 台 主 机 。 

在 图 4.7 中 ,通信 总 是 由 内 网 的 主机 先 主动 发 起 ,一 般 情况 ISP 的 Web 服务 器 和 邮件 
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， 目的 地 址 : 25.8.2.10 A 目的 地 址 : 25.8.2.10 
| 源 地 址 : 172.18.3.1 ”路 由 器 源 地 址 : 200.24.5.8 


| 内 名 区 网 
[eu 

交易 记录 表 
私 网 地 直 公 网 地 址 
172.18.3.1 25.8.2.10 


目的 地 址 : 172.18.3.1 ee 目的 地 址 : 200.24.5.8 
| 。 源 地 址 : 25.8.2.10 。 路 个 器 源 地 址 : 25.8.2.10 


| =- 了 | 
| = 外 联网 
上 区 


图 4.7 NAT 路 由 器 根据 交易 记录 表 对 返回 的 响应 包 进行 地 址 转换 


服务 器 等 都 在 互联 网 上 ,内 网 主机 和 运行 的 是 客户 端 程序 ,总 是 由 内 网 主机 先 发 起 诸如 TCP 
连接 请 求 等 。 因 此 不 能 将 对 外 网 提供 公共 信息 的 服务 器 设置 在 使 用 NAT 路 由 器 的 内 部 网 
络 , 因 为 它 不 能 向 外 网 的 客户 提供 服务 。 

(2) 使 用 公 网 IP 地 址 池 。 因 为 NAT 路 由 器 只 有 一 个 公 网 地 址 ,在 同一 时 间 内 ,不 能 有 
多 个 内 网 主机 同时 访问 同一 个 外 网 主机 。 为 了 克服 这 一 限制 ,NAT 路 由 器 可 以 使 用 一 个 
公 网 的 地 址 池 , 即 同时 采用 多 个 IP 地 址 。 例 如 ,假设 上 例 的 NAT 路 由 器 使 用 了 4 个 公 网 
地 址 200. 24. 5. 8、200. 24. 5.9、200. 24. 5. 10、.200. 24. 5. 11。 此 时 就 可 以 最 多 有 4 台 内 网 主 
机 同时 访问 同一 个 外 部 主机 ,因为 每 对 地 址 只 定义 了 一 个 连接 。 不 足 之 处 ,访问 同一 个 外 网 
主机 的 内 部 主机 不 能 多 于 4 台 。 另 外 ,内 部 的 同一 台 主 机 不 能 同时 访问 两 台 外 部 的 服务 器 
(HTTP 和 FTP 等 )。 其 原因 是 只 使 用 IP 地 址 进行 内 外 网 地 址 转换 和 识别 的 局 限 性 。 

(3) 同时 使 用 IP 地 址 和 端口 号 进行 NAT 转换 识别 。 要 实现 内 网 的 多 台 主 机 和 外 部 的 
多 台 服 务 器 同时 进行 连接 ,就 还 需要 用 传输 层 的 端口 号 与 IP 地 址 一 起 进行 转换 识别 。 关 于 端 
口号 请 参看 第 5 章 传输 层 的 内 容 介 绍 。 例 如 ,有 两 台 内 网 主机 (172. 18. 3. 1 和 172. 18. 3. 2) 要 
同时 访问 外 网 的 HTTP 服务 器 25. 8. 3.2 ,那么 地 址 转换 表 就 需要 有 5 列 , 即 源 和 目的 IP 地 
址 \ 源 和 目的 端口 号 ,传输 层 协议 。 表 4. 4 所 示 为 一 个 5 列 转换 表 的 例子 。 


表 4.4 使 用 IP 地 址 和 端口 号 进行 NAT 地 址 转换 


外 网 主机 端口 号 传输 层 协议 
80 | TCP 


内 网 地 址 内 网 主机 端口 号 
172. 18. 3.1 1400 25.8.3.2 


172. 18. 3. 2 1401 TCP 


注意 , 当 HTTP 的 响应 包 返 回 时 , 源 地 址 25. 8. 3. 2 和 目的 端口 号 定义 了 应 当 转 发 给 哪 
一 台 私 网 主机 。 此 例 中 ,标识 两 台 内 网 主机 进程 的 端口 号 1400 和 1401 必须 是 唯一 的 。 
NAT 网 络 地 址 转换 的 方法 有 多 种 ,请 参看 第 9 章 。 
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3. 网 络 地 址 转换 (NAT) 与 互联 网 服务 提供 商 (ISP) 

一 个 为 拨号 用 户 提 供 互联 网 接 入 服务 的 ISP. 可 以 使 用 NAT 技术 来 充分 利用 所 拥有 的 
公 网 IP 地 址 。 例 如 ,假设 有 一 个 ISP 具有 1000 个 公 网 IP 地 址 ,但 是 有 100 000 个 网 络 用 
户 , 每 个 用 户 被 分 配 一 个 私 网 IP 地 址 。ISP 将 每 个 用 户 的 外 出 IP 包 的 源 地 址 转换 为 这 
1000 个 公 网 IP 地 址 之 一 ,再 将 返回 的 响应 包 中 的 这 个 目的 IP 地 址 转换 为 相应 的 内 部 私 网 
地 址 ,如 图 4.8 所 示 。 


172.18.3.1 
100000 个 互联 网 服 


私 网 用 户 … | 务 提供 商 199 人 人 网 
ISP 的 NAT 
172.24.1.1 网 络 地 址 互联 网 


172.30.1.10 


多多 


图 4.8 互联 网 服务 提供 商 (ISP) 利 用 NAT 技术 增加 网 络 用 户 数量 


4.1.4 ”IPv6 地 址 


虽然 对 于 IPv4 地 址 的 短缺 采取 了 上 述 各 种 技术 措施 ,如 无 类 地 址 分 配 、 动 态 主 机 配置 
协议 ,网 络 地 址 转换 等 ,但 是 由 于 互联 网 的 迅速 普及 ,IP 地 址 的 短缺 是 一 个 长 期 存在 的 问 
题 。 另 外 ,还 有 IPv4 协议 对 音 视频 等 实时 传输 的 性 能 不 理想 ,对 某 些 应 用 数据 的 加 密 和 认 
证 不 能 满足 要 求 等 ,这 些 因素 导致 了 IPv6 协议 的 产生 。 

1. IPv6 的 地 址 结构 

IPv6 的 网 络 地 址 长 度 16B, 即 128 位 。 一 般 可 用 十 六 进 制 加 冒号 的 表达 方式 ,将 128 位 
分 为 8 段 ,每 段 有 16 位 ,每 段 用 4 个 十 六 进 制 数 表 示 。 因 此 IPv6 的 地 址 由 32 个 十 六 进 制 
数 表达 ,每 4 个 数 之 间 用 冒号 隔 开 ,如 图 4.9(a) 所 示 。 


128 位 =16B=32 个 十 六 进 制 数 


= -| 
1111110111101100 i N11 
(8) IPv6 地 址 的 十 六 进 制 表示 : | 

FDEC |: | 0074 | :| 0000 ] :| 0000 |:[ 0000 |:[ BoFF |:[ 0000 |:[ FFFF 
(b) 地 址 的 缩写 : FDEC:74:0:0:0:BOFF :0:FFFF 

(c) 进一步 缩写 : FDEC : 74 : BOFF : 0 : FFFF 


图 4.9 IPv6 地 址 的 二 进 制 和 十 六 进 制 加 冒号 表示 


IPv6 地 址 的 缩写 : IPv6 的 地 址 即使 用 十 六 进 制 表达 也 是 很 长 的 ,但 是 其 中 很 多 数值 都 
是 0, 在 这 种 情况 下 ,可 以 将 地 址 进行 缩写 。 可 以 将 两 个 冒号 之 间 的 4 个 数值 中 前 面 的 0 省 
去 , 仅 保 留 非 0 数字 ,如 果 是 4 个 0, 则 保留 最 后 一 个 0。 用 这 样 的 缩写 方法 ,0074 可 写 为 
74, 而 000F 可 写 为 F,0000 可 写 为 0, 如 图 4.9(b) 所 示 。 注 意 ,3210 就 不 能 被 缩写 。 如 果 
3 段 都 是 连续 的 0, 可 以 进一步 缩写 ,将 3 个 0 替换 为 两 个 冒号 ,如 图 4. 9(c) 所 示 。 但 是 这 种 
缩写 在 每 个 地 址 中 只 能 使 用 1 次 ,如 果 有 两 部 分 是 3 段 连续 0, 只 能 用 双 冒 号 缩写 其 中 一 


= 了 


部 分 。 

将 缩写 的 地 址 还 原 是 很 简单 的 ,只 要 将 未 缩写 的 部 分 中 间 插 入 0 即 可 。 例 如 ,将 缩写 
的 IPv6 地 址 0:15::1:12:1213 还 原 后 就 是 0000:0015: 0000: 0000:0000:0001， 
Le 

2. IPv6 的 地 址 空间 

IPv6 的 地 址 空间 为 2”, 可 分 为 几 种 类 型 。 位 于 地 址 的 前 部 的 一 些 比特 称 为 类 型 前 级 ， 
1 此 定义 地 址 的 类 型 。 类 型 前 级 的 长 度 可 变 , 并 满足 没有 任何 一 个 前 级 是 另 一 个 前 级 的 前 
半 部 分 的 条 件 , 这 样 才能 保证 前 级 定义 的 唯一 性 。 表 4. 5 给 出 了 每 种 类 型 前 级 的 定义 ,第 3 
列 是 该 地 址 类 型 占 整个 地 址 空间 的 比例 。 


表 4.5 IPv6 的 地 址 类 型 前 缀 


地 址 前 绥 类 型 占 地 址 空间 比例 
0000 0000 保留 1/256 


0000 001 ISO 网 络 地址 1/128 
0000 010 IPXCNovelD 网 络 地 址 1/128 


0000 011 Vin 


010 基于 服务 提供 商 的 单 播 地 址 1/8 
100 基于 地 理 位 置 的 单 播 地 址 1/8 


101 1/8 
110 1/8 
1110 1/16 
11110 1/32 
1111 10 1/64 
1111 110 1/128 
1111 1110 0 1/512 
1111 1110 10 链 路 本 地 地 址 1/1024 
1111 1110 11 站 址 本 地 地 址 1/1024 
观 寺 和 1 多 播 地 址 1/256 


(1) IPv6 单 播 地 址 。 单 播 地 址 定义 了 单 台 主机 ,具有 单 播 地 址 的 IP 包 必 须 送 到 指定 的 
主机 。IPv6 定义 了 两 类 单 播 地 址 : 基于 地 理 位 置 的 和 基于 服务 提供 商 的 。 这 里 先 讨论 第 
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2 类 地 址 ,前 者 留待 以 后 讨论 。 基 于 服务 提供 商 的 地 址 一 般 是 单 播 地址 ,其 地 址 格式 如 下 : 
类 型 ID: 前 3 比特 010 定义 了 此 地 址 是 基于 服务 提供 商 的 单 播 地 址 。 
注册 中 心 ID: 此 5 比特 标识 了 此 地 址 的 注册 中 心 。 目 前 已 经 定义 了 3 个 注册 中 心 。 
INTERNIC( 代 码 11000) 是 北美 的 注册 中 心 ;RIPNIC (代码 01000) 是 欧洲 的 注册 中 心 ; 
APNIC( 代 码 10100) 是 亚洲 和 太平 洋 国 家 的 注册 中 心 。 
服务 提供 商 ID: 其 比特 串 长 度 是 可 变 的 , 它 标识 了 互联 网 访问 服务 提供 商 ( 如 ISP) 。 
此 字段 的 推荐 长 度 是 16 位 。 


用 户 ID: 是 一 个 单位 部 门 通过 服务 提供 商 向 互联 网 注册 的 用 户 ID 号 。 推 荐 长 度 24 比 


子 网 ID: 每 个 用 户 ID 可 以 有 很 多 不 同 的 子 网 ,每 个 子 网 可 以 有 一 个 标识 代码 。 标 识 
了 在 用 户 网 络 内 的 一 个 特定 的 子 网 。 推 荐 长 度 32 比特 。 

结 点 ID: 最 后 一 个 字段 定义 了 连接 在 子 网 内 的 一 个 结 点 。 推 荐 长 度 是 48 比特 ,以 便 与 
以 太 网 的 48 比特 的 物理 地 址 兼容 。 可 能 将 来 采用 的 链 路 地 址 与 物理 地 址 相同 。 
子 网 前 级 


用 户 前 组 
提供 商 前 组 


INTERNIC 11000 


RIPNIC 01000| ， Ca 
APNIC 10100| 注册 中 心 代码 


图 4.10 基于 服务 提供 商 的 单 播 地址 前 绥 


(2) IPv6 多 播 地 址 。 多 播 地 址 用 于 定义 一 组 而 不 是 一 台 主 机 ,发 送 到 一 个 组 播 地 址 的 
数据 包 必 须 提 交 给 该 组 的 每 台 主机 。 图 4. 11 是 组 播 地 址 的 格式 。 第 1 个 字段 是 组 播 的 标 
识 。 第 2 个 字段 定义 了 该 组 播 地 址 是 永久 性 的 还 是 暂时 的 ,永久 组 播 地 址 由 互联 网 权威 机 
构 管理 ,任何 时 候 都 可 以 访问 ,临时 组 播 地 址 只 是 暂时 使 用 。 例 如 电话 会 议 系统 内 的 主机 可 
以 使 用 一 个 暂时 的 组 播 地 址 。 第 3 个 字段 是 组 播 地 址 的 使 用 范围 ,具体 如 图 4. 11 所 示 。 


比特 8 4 4 128 
ltl1l1| 标志 | 范围 | 组 ID 
4 XN 


0000 永久 的 | | 0000 保留 0001 本 地 结 点 
0001 暂时 的 0010 本 地 链 路 。” 0101 本 地 站 点 
1000 单位 部 门 ”1110 全 球 的 
1111 保留 


图 4.11 IPv6 组 播 地 址 格式 


(3) IPv6 任 播 地 址 。IPv6 定义 了 任 播 地 址 (Any-cast Address) , 任 播 地 址 也 是 定义 一 
组 结 点 ,但 是 发 给 任 播 地 址 的 数据 包 只 是 发 给 该 地 址 组 中 的 一 台 主 机 (最 短路 径 的 那 台 主 
机 )。 虽 然 任 播 地 址 的 定义 仍然 还 在 争论 ,但 是 任 播 地 址 的 一 个 可 能 的 用 途 是 在 互联 网 上 覆 
盖 很 广 逻 辑 范围 的 互联 网 ISP 的 所 有 路 由 器 。 从 ISP 外 部 的 路 由 器 提交 给 ISP 的 数据 包 ， 
被 送 到 最 近 的 一 台 ISP 路 由 器 。 任 播 地 址 不 分 块 。 
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(4) IPv6 保留 地 址 。 保留 地 址 的 类 型 前 级 是 0000 0000。 其 中 分 为 几 个 子 类 , 如 
图 4.12 所 示 。 其 中 : 图 4. 12(a) 未 定义 地 址 用 于 当 一 台 主 机 不 知道 自己 的 地 址 ,然后 发 送 
一 个 查询 去 获取 自己 地 址 的 时 候 。 图 4. 12(b) 回 传 地 址 用 于 主机 测试 自己 的 网 络 接 口 , 同 
时 又 不 将 IP 包 传 到 网 络 上 去 。 图 4. 12(c) 兼 容 地 址 用 于 从 IPv4 到 IPv6 的 过 渡 阶 段 。 
图 4.12(d) 上 映射 地 址 用 于 从 IPv4 到 IPv6 的 过 渡 . 用 于 当 一 台 IPv6 的 主机 要 发 送 一 个 数据 


包 给 一 台 IPv4 的 主机 的 时 候 。 


Bt 8 120 
0000 0000 全 为 0 
(a) 未 定义 
bit 8 120 
0000 0000 00000000 …。 0000000001 
(b) 回 传 地 址 
| 88 32 
0000 0000 全 为 0 IPv4 地 址 
(c) 兼容 地 址 
二 8 72 16 32 
上 [0000 0000 全 为 0 全 为 1 | IPv4 地 址 
(d) 映射 地 址 


图 4.12 IPv6 的 保留 地 址 分 类 


(5) IPv6 本 地 地 址 。 本 地 地 址 用 于 当 一 个 单位 组 织 想 要 使 用 IPv6 协议 ,但 是 又 不 连接 
到 全 球 互联 网 的 情况 ,此 地 址 用 于 私有 网 络 。 外 部 的 主机 不 能 发 送 IP 包 给 单位 内 使 用 这 些 
地 址 的 主机 。 本 地 地 址 分 为 两 类 ,如 图 4. 13 所 示 。 图 4.13(a) 所 示 本 地 链 路 地 址 用 于 一 个 
隔离 的 子 网 ,图 4. 13(b) 所 示 本 地 站 点 地 址 用 于 隔离 具有 几 个 子 网 的 站 点 。 


bit 10 70 48 
1111111010 | 全 为 0 结 点 地 址 
(a) 本 地 链 路 
bit 10 38 32 48 
tl1011 | 全 为 9 | 子 网 地 址 | 。 结 点 地 址 
(b) 本 地 站 点 


图 4.13 IPv6 的 本 地 地 址 


4.2 互联 网 层 协议 


网 络 互联 需 解决 的 问题 


物理 层 和 数据 链 路 层 只 是 工作 于 本 地 网 络 或 一 个 网 段 。 而 在 图 4. 14 所 示 的 互联 网 中 
有 5 个 网 络 的 互联 : 4 个 LAN 局 域 网 和 一 个 WAN 广域网 。 如 果 主 机 A 需要 发 送 一 个 IP 
包 给 主机 D, 该 数据 包 首 先 从 A 传 到 S1( 交 换 机 或 路 由 器 ) ,然后 从 Sl 传 到 S3 ,最 后 从 S3 
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4.2.1 


传 到 主机 D。 因 此 IP 包 经 过 了 3 个 链 路 ( 即 3 个 hop 跳 段 ) ,在 每 个 链 路 中 有 两 个 物理 层 和 
两 个 数据 链 路 层 参与 工作 。 


网 络 层 |] [ 画图 
数据 链 路 层 [IDD 
物理 层 链 路 1 


图 4.14 互联 网 中 网 络 层 的 功能 之 一 是 执行 路 由 选择 


这 里 的 问题 是 , 当 数 据 包 到 达 S1 的 接口 1 时 ,Sl 如 何 知道 应 当 将 数据 从 f3 转发 出 去 
呢 ? 数据 链 路 层 和 物理 层 的 功能 是 不 能 向 Sl 提供 这 种 路 由 转发 信息 的 ,以 太 帧 的 头 部 没有 
包含 任何 路 由 信息 ,只 含有 源 主机 A 的 MAC 物理 地 址 和 出 口 路 由 器 Sl 的 MAC 地 址 。 在 
LAN 和 WAN 的 物理 层 和 数据 链 路 层 的 任务 中 ,只 是 将 数据 帧 从 一 条 链 路 的 源 端 传输 到 目 
的 端 即 完成 任务 。 

要 解决 将 数据 包 通 过 多 个 链 路 的 接力 传输 问题 ,就 需要 网 络 层 (也 称 为 互联 网 层 ) 的 功 
能 。 网 络 层 的 任务 是 将 IP 包 从 主机 传输 到 主机 ,并 且 通 过 路 由 器 和 交换 机 转发 IP 包 。 

互联 网 是 基于 IP 包 交 换 的 数据 报 传输 网 络 。 如 图 2. 1 所 示 , 数 据 的 交换 可 以 分 为 
3 类 .电路 交换 、 包 交换 和 消息 报 文 交换 。 包 交换 又 分 为 虚 电 路 交换 和 数据 报 交换 两 种 方 
案 。 互 联网 的 网 络 层 使 用 的 是 数据 报 交换 方式 ,利用 互联 网 IP 地 址 的 寻 址 方式 将 IP 包 从 
源 主 机 路 由 传递 到 目的 主机 。 

互联 网 是 一 个 无 连接 的 网 络 。 网 络 层 在 终端 与 终端 之 间 传 输 数据 包 的 方法 可 以 是 面向 
连接 的 (Connection-oriented Service) ,或 面向 无 连接 的 (Connectionless-oriented Service ) 。 
在 面向 连接 的 传输 服务 中 , 源 主机 与 目的 主机 在 传输 数据 包 之 前 先 要 建立 连接 。 然 后 ,一 系 
列 相互 独立 的 包 就 从 同一 个 源 主机 向 同一 个 目的 主机 逐个 传输 。 这 一 系列 的 包 沿 着 同一 条 
路 线 按 顺 序 传输 , 当 同 一 个 报 文 分 割 成 的 所 有 包 都 传输 完 后 ,连接 就 被 终止 了 。 

在 面向 连接 的 协议 中 ,通信 之 前 需要 先 建立 连接 ,从 源 主机 到 目的 主机 传输 的 一 系列 包 
的 路 由 选择 是 一 次 性 决定 的 。 数 据 传 输 时 交换 机 并 不 会 重新 选择 每 个 独立 包 的 路 由 ,而 是 
按照 既定 的 路 径 转 发 包 。 在 虚 电 路 交换 的 业务 中 ,例如 帧 中 继 、SDH 和 ATM( 异 步 传 输 模 
式 ) 就 是 采用 面向 连接 的 服务 。 

在 面向 无 连接 的 服务 中 ,网 络 层 协议 对 每 个 包 的 处 理 是 相互 独立 的 。 同 一 个 报 文中 的 
各 个 包 到 达 目 的 主机 的 传输 路 径 可 以 相同 ,也 可 以 不 同 。 在 IP 包 交 换 中 ,就 是 使 用 这 种 数 
据 报 的 服务 。 互 联网 的 网 络 层 就 采用 这 种 服务 ,其 原因 是 ,互联 网 是 由 各 种 各 样 的 异 构 网 络 
相互 连接 而 成 ,不 可 能 在 事先 不 知道 每 个 异 构 网 络 特性 的 情况 下 ,在 源 主 机 和 目的 主机 之 间 
建立 一 个 连接 。 


4.2.2 IPv4 互联 网 协议 


互联 网 协议 版 本 4(IPv4) 是 目前 TCP/IP 协议 族 使 用 的 网 络 层 协议 。 其 在 协议 族 中 的 
.116 ， 


位 置 参见 图 1. 15。IPv4 是 一 个 不 可 靠 的 和 无 连接 的 数据 报 协议 ,提供 的 是 尽力 而 为 的 服 
务 。 尽 力 而 为 的 意思 是 ,IPv4 没有 差错 控制 和 流量 控制 功能 ( 仅 对 了 P 包 的 头 部 捡 错 ) ,由 于 
底层 协议 的 不 可 靠 , 它 尽 自 己 的 最 大 努力 将 IP 包 传 送 到 目的 主机 ,但 是 并 不 保证 能 够 无 差 
错 地 送 到 。 只 要 尽 到 最 大 努力 即 可 , 即 best-effort connectionless packet transfer。 

对 于 有 可 靠 性 要 求 的 数据 传输 , IPv4 必须 与 TCP 等 有 可 靠 性 保障 机 制 的 协议 结合 使 
用 。 比 如 一 个 邮局 的 服务 , 它 尽 最 大 努力 来 传送 信件 ,但 还 是 有 信件 被 丢失 。 如 果 有 一 个 普 
通信 件 ( 非 挂号 信 ) 被 丢失 了 ,只 有 发 信者 或 收 信者 能 发 现 和 补救 这 信件 的 丢失 ,邮局 并 不 对 
每 个 普通 邮件 的 行踪 进行 跟踪 ,也 不 会 将 丢失 的 情况 通报 给 发 信者 。 

IPv4 是 无 连接 的 包 交 换 网 络 , 对 每 个 数据 报 的 处 理 是 独立 的 ,各 个 数据 报 可 以 沿 不 同 的 
路 径 到 达 接 收 端 ,而 且 到 达 的 顺序 也 可 能 是 乱 的 。IPv4 将 这 些 问题 的 解决 让 高 层 协议 去 处 理 。 

1. IPv4 数据 包 格 式 

IPv4 包 称 为 IP 分 组 或 IP 数据 报 (Datagram)。 图 4.15(a) 所 示 为 IP 包 的 结构 ,图 4.15(b) 
是 用 Wireshark 捕获 的 网 络 中 的 一 个 IP 包 的 实例 ,这 两 个 图 中 各 字段 的 内 容 和 顺序 是 完全 
一 臻 的。 在 此 实例 中 ,IP 包 被 封装 在 以 太 帧 中 ,而 IP 包 内 的 载荷 封装 的 是 UDP (User 
Datagram Protocol) 包 ,UDP 包 中 封装 的 是 DNS 域名 查询 请 求 , 此 实例 的 协议 头 部 封装 顺 
序 是 eth: ip: udp: dns。 这 些 上 层 协 议 将 在 第 5 章 和 第 6 章 介绍 。 


20-65 536B 
[20608 | 
IP 头 部 | 数据 | 
比特 4 4 8 3 EE 坟 
版 本 号 | 头 部 长 度 服务 | 总 长 度 (16 位 ) 
标志 (ldentification) | 标记 | ”分 段 偏 移 量 (Fragmentation Offsct) 
生存 期 (Time to Live) 协议 | 头 部 校 验 和 (16 位 ) 
源 IP 地 址 (32 位 ) 
目的 IP 地 址 (32 位 ) 
可 选项 (32 位 ) 


(a) IPv4 头 部 数据 格式 


画 Ethernet II, Src: BenignTe 00:33:39 (C00:24:12:00:33:39), Dst: 一 一 一 
电 Internet Protocol, Src: 10.0.26.7 (10.0.26.7), Dst: 202.203.208.33 (202 
Version: 4 
Header length: 20 bytes 
Differentiated Services Field: Ox00 (DsCP 0x00: Default; ECN: 0x00) 
Total Length: 62 


Identification: Ox623b (25147) 
困 Flags: Ox00 
Fragment offset: 0 
Time to live: 64 
Protocol: UDP (0x11) 
国 Header checksum: 0x5980 [correct] 
Source: 10.0.26.7 (10.0.26.7) 


Destination: 202.203.208.33 (202.203.208.33) 
由 User Datagram Protocol]l, Src Port: 60490 (60490), Dst Port: domain (53) 
由 Domain Name System (query) 


(b) 用 Wireshark 捕 获 网 络 中 的 一 个 IP 包 结构 实例 
图 4.15 IPv4 头 部 数据 格式 及 实例 
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IP 包 的 长 度 不 是 固定 的 ,由 包 的 头 部 和 载荷 数据 两 部 分 构成 。 头 部 长 度 为 20 一 60B， 
其 中 含 路 由 和 传输 所 需要 的 基本 信息 。 按 每 个 字段 的 顺序 分 别 简介 如 下 : 

(1) 版 本 号 Version ,4 比特 长 , 它 标识 所 使 用 的 IP 协议 的 版 本 。 当 前 的 使 用 版 本 为 4， 
但 是 将 来 可 能 要 被 版 本 6(IPv6 或 IPng) 蔡 代 。 

(2) 头 部 长 度 Head length,4 比特 长 ,表示 IP 包头 部 的 长 度 。 长 度 的 基本 单位 是 4B。 
因为 IP 包 的 头 部 长 度 在 20 一 60B 之 间 变 化 ,因此 该 字段 是 不 可 缺少 的 。 如 果 IP 头 部 没有 
可 选项 部 分 ,那么 头 部 长 度 为 20B, 此 字段 的 值 是 5(5X4 二 20)。 如 果 头 部 中 含有 最 长 的 可 
选项 ,那么 头 部 长 度 为 60B, 此 字段 的 值 是 15(15X4 二 60)。 

(3) 服务 字段 ,8 比特 长 ,互联 网 工程 任务 组 (Internet Engineering Task Force,IETF) 
将 此 字段 的 定义 和 名 称 做 了 一 些 改变 。 以 前 称 为 服务 类 型 (Service Type) ,现在 称 为 差分 
服务 (Differentiated Services) 。 此 字段 的 两 种 不 同 的 定义 如 图 4. 16 所 示 。 


D: 最 小 延迟 ”R: 最 大 可 靠 性 
T: 最 大 吞吐 量 C : 最 小 代价 


LT ToTITRTc] [le 
前 置 比特 [Codepoi | 
服务 类 型 差分 服务 


图 4.16 IPv4 头 部 中 服务 字段 的 两 种 定义 


@ 服务 类 型 : 早先 这 8 比特 的 字段 定义 为 服务 类 型 ,前 面 3 比特 称 为 前 置 比特 
(Precedence bits) ,接着 的 4 比特 称 为 服务 类 型 (Type of Service,ToS) ,最 后 1 比特 未 使 用 。 

前 置 比特 有 3 位 ,其 值 从 0( 二 进 制 000) 到 7( 二 进 制 111) ,定义 了 在 诸如 拥塞 的 情况 
下 ,此 了 P 包 的 优先 级 别 。 如 果 有 一 个 路 由 器 产生 了 拥塞 ,需要 丢 去 部 分 IP 包 , 首 先 丢 弃 优 
先 级 别 较 低 的 IP 包 , 参 看 图 2.24。 互 联网 中 的 有 些 IP 包 比 其 他 的 一 些 IP 包 重 要 ,例如 ,用 
于 网 络 管理 的 IP 包 就 比 只 传输 一 些 组 的 可 选 信息 的 IP 包 重要 和 紧迫 。 前 置 比特 是 IPv4 
协议 的 一 部 分 ,但 是 从 未 使 用 过 。 

服务 类 型 ToS 有 4 比特 ,每 个 比特 都 有 特定 的 含义 。 虽 然 每 位 都 可 以 有 0 和 1 两 种 
值 , 但 是 这 些 比特 中 ,只 能 有 1 个 比特 可 以 置 为 1。 这 4 比特 的 数值 及 含义 ,一 共 定 义 了 5 种 
服务 ,如 表 4.6 所 示 。 


表 4.6 IPv4 头 部 的 服务 类 型 


服务 类 型 ToS 比特 定 义 部 分 应 用 程序 的 默认 服务 类 型 
0000 正常 (默认 设置 ) ICMP,BOOTP,DNSCTCP Query) 
0001 最 小 代价 NNTP 
0010 最 大 可 靠 性 IGP. SNMP 
0100 最 大 吞吐 量 FTP(Data) ,SMTP(Data) ,DNS(Zone) 
0 最 小 延迟 en .TFTP,SMTP(CCommand) ， 


从 表 4. 6 中 可 看 出 : 交互 式 的 应 用 、 主 动 要 求 关 注 的 应 用 和 要 求 立 即 响应 的 应 用 ,都 需 
要 提供 最 小 延迟 的 服务 。 那 些 发 送 大 量 数据 的 应 用 , 则 要 求 提 供 最 大 吞吐 量 的 服务 。 网 络 
管理 的 应 用 ,需要 提供 最 大 可 靠 性 的 服务 。 后 台 的 应 用 程序 ,需要 提供 最 小 代价 的 服务 。 
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@ 差分 服务 : 现在 这 8 比特 字段 称 为 差分 服务 。 图 4. 16 右 图 为 差分 服务 的 比特 位 置 ， 
左 侧 6 比特 组 成 码 点 (Code Point) 子 字段 ,最 右 的 2 个 比特 未 使 用 。 码 点 子 字段 可 以 用 于 
下 述 两 种 不 同 的 途径 。 

当 码 点 子 字段 的 右 3 个 比特 都 为 0 时 , 左 3 个 比特 的 定义 与 服务 类 型 的 前 置 比特 相同 ， 
因此 它 与 原来 的 服务 类 型 的 定义 兼容 。 

当 码 点 子 字段 的 右 3 个 比特 不 全 为 0 时 ,此 6 比特 定义 了 64 种 服务 ,这 些 服务 基于 互 
联网 或 局 域 网 的 权威 机 构 所 指定 的 优先 级 而 定 , 如 表 4. 7 所 示 。 表 中 第 1 类 包含 32 种 服务 
类 型 ,第 2 和 第 3 类 各 包含 16 种 服务 类 型 。 第 1 类 (编号 0,2,4，…… ,62) 由 互联 网 权威 机 
构 IETF 指定 。 第 2 类 (编号 3,7,11,15,…… ,63) 可 以 由 局 域 网 的 管理 部 门 指 配 。 第 3 类 
(编号 1,5,9，…… ,61) 是 临时 性 的 ,可 以 用 于 实验 目的 。 注 意 , 各 类 的 编号 不 是 连续 的 。 如 
果 编 号 连续 的 话 ,第 1 类 将 是 从 0 至 31, 第 2 类 将 是 从 32 至 47, 第 3 类 将 是 从 48 至 63, 这 
样 将 不 与 ToS 服务 类 型 的 编号 兼容 ,因为 XXX000( 包 含 0,8,16,24,32,40,48 和 56) 将 落 
入 所 有 的 3 种 类 别 中 ,而 按照 上 述 第 1 类 的 编号 指 配 ,所 有 这 些 数 都 在 第 1 类 中 。 目前 ,所 
有 这 些 指 配 还 不 是 最 后 的 定案 。 


表 4.7 码 点 的 值 


(4) 总 长 度 (total length) 字 段 。 长 16 比特 ,定义 了 IPv4 数据 报 的 总 长 度 (包括 头 部 和 
数据 ) ,单位 是 字 节 。 将 总 长 度 减 去 头 部 长 度 就 等 于 来 自 上 层 的 数据 长 度 。 头 部 长 度 等 于 头 
部 长 度 字 段 的 值 乘 以 4。 因 为 总 长 度 为 16 位 ,因此 IPv4 数据 报 的 最 大 长 度 限制 为 2 一 1= 
65 535B。 尽 管 此 数值 看 来 很 大 ,但 是 将 来 的 底层 技术 可 以 提供 更 高 的 吞吐 量 和 带宽 时 , 例 
如 IP over WDM 等 光纤 网 ,IPv4 包 的 长 度 可 能 还 会 增加 。 

IPv4 包 的 分 段 传输 中 会 讨论 到 ,有 些 物理 层 的 网 络 不 能 将 整个 65 535B 长 的 IP 包 封装 
到 一 个 链 路 层 的 帧 中 ,因此 要 将 IP 包 分 段 后 才能 在 这 些 物 理 网 络 中 传输 。 另 一 方面 ,以 太 
帧 的 载荷 长 度 范围 是 46 一 1500B, 如 果 IP 包 的 总 长 度 小 于 46B, 就 要 加 入 填充 以 满足 此 要 
求 。 因 此 接收 端 需要 根据 IP 包头 部 的 总 长 度 字 段 的 数值 才能 正确 分 离开 IP 包 和 填充 部 
分 ,如 图 4.17 所 示 。 


和光 最 小 长 度 46B A 


以 太 帧 头 部 当 耳 包 长 度 <46B 时 填充 “| | 以 太 帧 尾部 CRC 校 验 


图 4.17 以 太 帧 内 封装 的 载荷 长 度 不 能 小 于 46B 


(5) 标志 字段 。 这 是 IP 包 的 ID 号 ,用 于 将 IP 包 分 段 与 重组 ,将 在 后 面 讨论 。 
(6) 标记 (Flags) 字 段 。 用 于 标识 此 IP 包 是 否 完整 ,或 有 分 段 ,将 在 后 面 讨 论 。 
(7) 分 段 偏 移 量 (Fragmentation offset) 。 用 于 标识 同属 一 个 IP 包 的 多 个 分 段 序号 ,将 
在 后 面 讨论 。 
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(8) 生存 期 字段 TTL。 当 一 个 IP 包 通过 互联 网 传输 时 ,有 一 个 生存 期 的 限制 。 此 字段 
的 初始 设计 目的 是 要 让 IP 包 具 有 一 个 时 间 戳 , 当 IP 包 每 经 过 一 个 路 由 器 时 就 减 去 1。 当 
该 值 减少 为 0 时 ,就 将 该 P 包 抛弃 。 然 而 要 实现 此 目的 ,就 要 求 所 有 的 网 络 设备 的 时 间 都 
同步 ,并 且 知 道 一 个 IP 包 从 一 个 网 络 设备 到 另 一 个 网 络 设备 的 传输 需要 多 长 时 间 , 这 是 难 
于 实现 的 。 现 在 ,生存 期 主要 用 于 控制 一 个 IP 包 在 网 络 上 传输 所 经 过 的 最 大 跳 数 ( 即 网 段 
数 )。 当 源 主机 发 送 一 个 IP 包 后 , 它 给 TTL 设 定 一 个 数值 ,此 数值 大 约 等 于 两 个 主机 之 间 
的 路 由 器 最 大 数量 的 2 倍 。 每 个 路 由 器 转发 了 此 IP 包 , 就 将 其 中 的 TTL 值 减 1。 当 TTL 
二 0 时 ,说 明 超过 了 生存 期 ,就 将 此 IP 包 抛弃 。 

需要 有 此 TTL 字段 的 另 一 个 原因 是 ,互联 网 设备 的 路 由 表 可 能 有 问题 , 当 一 个 IP 包 在 
两 个 或 更 多 路 由 器 之 间 传 输 了 很 长 时 间 后 若 还 不 能 到 达 目 的 主机 ,设置 该 字段 来 限制 IP 包 
的 生存 时 间 。 

此 字段 的 另 一 个 用 途 是 将 IP 包 限 制 在 本 地 网 内 传输 。 例 如 , 源 主机 和 希望 将 该 IP 包 限 
制 在 局 域 网 内 传输 ,就 将 TTL 值 设 为 1。 当 该 IP 包 到 达 第 1 个 出 口 路 由 器 时 ,该 值 降 为 0， 

(9) 上 层 协议 字段 ,8 比特 长 。 它 标识 了 此 IPv4 包 封 装 传输 的 上 层 协 议 。 一 个 IPv4 包 
可 以 封装 来 自 几 类 高 层 的 数据 ,例如 TCP、UDP、ICMP 和 IGMP 等 。 该 字段 定义 了 此 IP 
包 最 终 要 提交 的 数据 的 协议 类 型 。 换 言 之 ,因为 IP 包 可 封装 携 上 层 多 种 不 同 协议 的 数据 ， 
此 字段 有 助 于 让 接收 端的 网 络 层 知 道 携带 的 数据 属于 哪 一 种 协议 ,参看 图 1. 15。 上 层 协 议 
字段 数值 所 代表 的 常用 上 层 协议 有 : 

1>ICMP,2 一 IGMP,6 一 TCP,17 一 UDP,89 一 OSPF.41 一 隧道 模式 传输 IPv6 的 包 ， 
50~>IPSec 的 ESP 协议 ,51 一 IPSec 的 AH 协议 。 

(10) 头 部 校 验 和 (Header checksum) ,16 位 长 。 用 于 检测 IP 头 部 的 差错 ,计算 方法 见 
附录 B。 

(11) 源 IP 地 址 ,32 位 长 。 定 义 了 发 出 此 IP 包 的 主机 IP 地 址 。 在 此 IP 包 从 源 主机 传 
输 到 目的 主机 的 途中 ,此 源 IP 地 址 的 值 保 持 不 能 改变 。 

(12) 目的 IP 地 址 ,32 位 长 。 定 义 了 接收 此 IP 包 的 主机 IP 地 址 。 在 此 IP 包 从 源 主 机 
传输 到 目的 主机 的 途中 ,此 目的 主机 IP 地 址 的 值 不 能 改变 。 

例 4-1 接收 主机 收 到 一 个 IPv4 包 , 其 前 8 比特 的 值 为 0100 0010 ,为 何 应 当 将 它 抛弃 ? 

答 : 参看 图 4.15, 前 4 比特 是 版 本 号 0100 ,正确 。 但 接 后 的 4 比特 0010 是 无 效 的 头 部 
长 度 , 因 为 0010 表示 2X4=8B, 小 于 IP 头 部 的 最 小 长 度 20B。 判 定 此 包 出 错 。 

例 4-2 在 一 个 IPv4 包 中 , 头 部 长 度 的 值 是 1000( 二 进 制 ), 此 包 中 携带 了 多 少 字 节 的 
可 选 部 分 ? 

答 : 头 部 长 度 1000 表示 8X4=32B, 前 20B 是 基本 头 部 , 余 12 字 节 是 可 选 部 分 。 

例 4-3 在 一 个 IPv4 包 中 , 头 部 长 度 值 是 5, 总 长 度 字 段 值 为 0x0028, 携 带 了 多 少 字 节 
的 数据 ? 

答 : 头 部 长 度 5X4 一 20B, 总 长 度 0x0028 表示 2X16! 十 8X16" 二 40B, 数 据 长 度 = 总 长 
度 一 头 部 长 度 二 20B。 

例 4-4 收 到 了 一 个 IPv4 包 , 前 面部 分 的 数据 用 十 六 进 制 数 表示 为 0x4500 0028 0001 
0000 0102…, 此 包 还 可 以 传输 多 少 跳 段 ?上 层 数 据 属 于 什么 协议 ? 
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答 : 首先 找 出 TTL, 跳 过 前 8B(2 个 十 六 进 制 数 为 1B) ,TTL 是 第 9 字 节 0x01 ,说 明 此 
包 还 可 以 传 1 跳 段 。 协 议 字 段 是 第 10 字 节 0x02. 从 上 述 (9) 中 可 知 2 表示 封装 的 上 层 协议 
是 IGMP。 

2. IPv4 包 的 分 段 传 输 

一 个 IP 包 可 以 通过 不 同 的 网 络 传输 ,每 个 路 由 器 从 一 个 网 络 接口 收 到 数据 链 路 层 的 帧 
后 将 其 解 封 取出 IPv4 包 , 对 它 进 行 处 理 , 然 后 又 将 它 封装 到 下 一 个 网 络 接口 的 链 路 层 的 帧 
中 。 收 到 帧 的 格式 和 大 小 取决 于 传输 来 的 物理 网 络 的 协议 。 要 转发 送出 的 帧 的 格式 和 大 小 
也 取决 于 要 送出 的 物理 网 络 所 使 用 的 协议 。 例 如 ,一 个 路 由 器 连接 一 个 LAN 和 WAN, 收 
到 的 是 LAN 的 帧 ,而 发 送出 的 是 WAN 的 帧 。 

(1) 最 大 传输 单元 (Maximum Transfer Unit,MTU ) 。 

每 个 数据 链 路 层 的 协议 都 有 自己 的 帧 格式 , 帧 格式 中 的 一 个 参数 就 是 帧 内 载荷 的 最 大 
长 度 MTU。 当 一 个 IP 包 被 封装 在 一 个 帧 内 时 ,其 长 度 必须 小 于 这 个 最 大 值 。MTU 的 大 
小 取决 于 网 络 所 使 用 的 硬件 特性 和 软件 协议 ,综合 考虑 信道 误 码 率 和 传输 延迟 等 各 种 因素 ， 
一 般 误 码 率 较 高 的 传输 信道 MTU 较 小 (例如 ,移动 通信 无 线 信道 .PPP 拨号 接 入 信道 等 )， 
而 误 码 率 较 小 并 且 高 速 信 道 的 MTU 较 大 (例如 ,光纤 传输 信道 等 ), 如 图 4. 18 所 示 。 


IP 数 据 报 
帧 头 部 一 个 帧 所 能 封装 的 最 大 数据 长 度 帧 尾部 
协议 最 大 传输 单元 (B) 
Hyper- Channel 65 535 
Token Ring(16Mbps) 17 914 
Token Ring(4Mbps) 4464 
FDDI 4352 
以 太 网 1500 
X.25 576 
EP 196 


图 4.18 各 种 不 同 传输 层 协 议 的 最 大 传输 单元 


为 了 让 IPv4 协议 独立 于 底层 物理 网 络 , 设 计 者 将 IPv4 包 的 最 大 长 度 定 为 65 535B, 即 
等 于 图 4.15 中 IP 包头 部 总 长 度 字段 能 表达 的 最 大 值 (2% 一 1) 。 如 果 传 输 IP 包 的 物理 网 络 
的 MTU 等 于 此 长 度 ,那么 可 以 获得 较 高 的 效率 。 然 而 , 当 IP 包 在 其 他 物理 网 络 传 输 时 , 必 
须 将 IP 数据 报 分 段 , 以 适应 不 同 网 络 的 MTU。 

发 送 端的 源 主机 通常 不 对 IPv4 包 分 段 , 它 的 传输 层 将 应 用 数据 分 割 为 适应 于 IPv4 和 
底层 的 数据 链 路 层 的 长 度 。 

当 传输 中 一 个 IP 包 被 分 段 后 ,每 个 分 段 都 有 自己 的 头 部 ,其 中 大 部 分 内 容 是 相同 的 ,只 
对 其 中 几 个 字段 作 了 改变 。 当 一 个 被 分 段 的 IP 包 传输 过 程 中 过 到 一 个 MTU 更 小 的 网 络 ， 
可 能 被 再 次 分 段 。 换 言 之 ,一 个 IP 包 到 达 最 后 目的 主机 之 前 ,可 以 被 分 段 若 干 次 。 

在 IPv4 中 ,一 个 IP 包 可 以 被 源 主机 或 途中 的 任何 一 个 路 由 器 分 段 , 虽 然 一 般 不 主张 在 
源 主机 分 段 。 然 而 ,IP 包 的 重组 只 在 目的 主机 进行 ,因为 每 个 分 段 都 成 了 独立 的 卫 包 。 分 
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段 后 的 IP 包 可 以 各 自 经 过 不 同 的 路 由 器 传输 ,通常 不 能 控制 或 保证 分 段 后 的 了 P 包 从 哪 一 
条 路 径 传输 ,也 不 能 保证 这 些 分 段 能 否 都 到 达 目 的 主机 。 因 此 ,重组 只 能 在 目的 主机 进行 。 
影响 重组 的 因素 是 传输 过 程 中 分 段 的 丢失 和 分 段 对 效率 的 影响 。 

当 一 个 IP 包 被 分 段 后 ,原来 包头 部 中 所 需要 的 字段 被 复制 到 所 有 分 段 的 头 部 中 。 可 选 
部 分 可 以 复制 ,也 可 以 不 复制 。 对 一 个 IP 包 进行 分 段 的 主机 或 路 由 器 必须 改变 头 部 中 的 标 
记 flag、 分 段 偏 移 量 和 总 长 度 3 个 字段 的 数值 。 另 外 ,无 论 分 段 与 否 , 校 验 和 都 必须 重新 计 
算 。 其 他 的 字段 则 直接 复制 到 新 的 分 段 头 部 中 。 

(2) IP 包 分 段 时 要 改变 的 包 中 字段 。 

@ 标志 字段 。 这 个 16 位 长 的 字段 标志 了 一 个 来 自 源 主 机 的 IP 包 。 标 志 字 段 和 源 主 
机 IPv4 地 址 的 组 合 应 当 唯一 地 标识 该 数据 报 。 要 保证 其 唯一 性 ,IPv4 协议 使 用 了 一 个 计 
数 器 给 IP 包 打 标记 。 计 数 器 的 初始 值 是 一 个 正 随 机 数 , 当 IPv4 协议 发 送 一 个 卫 包 时 ,将 
当前 计数 器 的 值 复制 到 头 部 标志 字段 ,然后 计数 器 的 值 加 1。 只 要 计数 器 的 值 一直 保 持 在 
存储 器 中 ,就 能 够 保证 该 标志 的 唯一 性 。 同 一 个 IP 包 被 分 成 若干 分 段 时 ,标志 字段 的 值 被 
复制 到 所 有 的 分 段 中 。 换 言 之 ,同一 个 IP 包 被 分 段 后 的 每 个 段 中 的 标志 字段 是 相同 的 。 标 
志 字 段 可 帮助 目的 主机 将 各 分 段 进 行 重组 ,还 原 IPv4 包 , 如 图 4. 20 所 示 。 

@ 标记 字段 。 参 看 图 4. 19 ,该 字段 长 3 比特 ,第 1 比特 是 保留 的 ,第 2 比特 是 “禁止 
分 段 D” 比 特 ,如 果 它 的 值 为 1, 所 有 主机 和 路 由 器 都 不 能 对 此 IP 包 进 行 分 段 。 如 果 该 卫 
包 太 长 不 能 通过 下 一 个 物理 网 络 传输 ,就 将 此 耳 包 丢弃 ,并 发 送 一 个 ICMP 出 错 信 息 给 
源 主 机 。 如 果 第 2 比特 为 0, 那么 需要 的 时 候 就 可 以 对 该 卫 包 进行 分 段 。 第 3 比特 是 
“后 面 有 更 多 分 段 M" 比 特 , 如 果 其 值 为 1, 说 明 该 全 包 不 是 最 后 一 个 末尾 分 段 ,在 其 后 面 
还 有 更 多 的 分 段 要 接 上 。 如 果 第 3 比特 为 0, 说 明 该 全 包 是 最 后 一 个 分 段 ,或 是 唯一 的 
数据 包 。 

@ 分 段 偏 移 量 。 该 字段 长 13 比特 ,标明 了 此 分 段 在 同一 个 IP 包产 生 的 所 有 分 段 中 的 
相对 位 置 。 它 的 值 等 于 该 分 段 的 第 一 个 字 节 在 原 IP 包 的 数据 中 的 序列 号 除 以 8( 因 为 该 字 
段 只 有 13 位 ,能 够 表示 的 最 大 值 仅 8191, 要 乘 8 才能 表达 IP 包 的 最 大 值 )。 图 4. 19 为 将 一 
个 IP 包 中 的 4000 字 节 长 的 数据 分 为 3 个 分 段 的 举例 ,分 段 偏 移 量 等 于 每 个 数据 段 的 第 
1 个 字 节 的 序号 除 以 8。 


IP 头 部 的 标记 字段 定义 : D |M| D=1 禁止 分 段 M=1 后 有 分 段 
字 节 号 0 分 段 偏 移 量 =0/8=0 字 节 号 3999 
2 pl ~ DS 
| 
0 1399 1400 2799 ”2800 3999 


分 段 偏 移 量 =0/8=0 分 段 偏 移 量 =1400/8=175 ”分 段 偏 移 量 =2800/8=350 
图 4.19 将 一 个 他 包 中 载荷 数据 分 为 3 有 段 的 举例 


图 4. 20 所 示 为 图 4. 19 中 各 分 段 的 头 部 信息 。 注 意 ,所 有 分 段 头 部 的 标志 字段 是 相同 的 
14 567 ,说 明 它们 都 是 属于 同一 个 全 包 。 除 了 最 后 一 个 分 段 外 ,其 他 分 段 的 标记 字段 中 的 第 
3 位 “更 多 分 段 M” 被 置 1, 说 明 此 分 段 不 是 最 后 一 个 。 分 段 偏 移 量 也 标明 在 图 中 ,等 于 该 分 段 
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的 第 一 个 字 节 在 原始 全 包 中 的 序号 除 8, 图 4. 20 中 第 2 个 分 段 又 被 再 次 分 解 为 800B( 分 段 
2-1) 和 600B( 分 段 2-2) 两 段 ,但 是 偏 移 量 的 计算 都 是 基于 原始 人 PP 包 的 数据 字 节 号 的 。 


pv4 总 长 度 4020B 
下 包 的 ID:14567| ]0[O[ 偏 移 量 0 


原始 IP 包 
原始 IP 包 的 载荷 数据 字 节 号 :0-3999 
mv4| 总 长 度 1420B | [mv4| i IPvd| | 总 长 度 1220B 


IP 包 的 ID:14567 | |0| 1| 偏 移 量 0 | | IP 包 的 ID:14567 | |0| 1| 偏 移 量 175 | | IP 包 的 ID:14567 | |0|o| 偏 移 量 350 


分 段 1 的 载荷 数据 字 节 号 :0~1399 | | 分 段 2 的 载荷 数据 字 节 号 :1400-2799 | | 分 段 3 的 载荷 数据 字 节 号 :2800-3999 


分 段 让 分 段 2 ~ 分 段 3 
IPv4| 总 长 度 820B IPv4| | 可 | 总 长 度 620B 
IP 包 的 ID:14567 | [o[1| 偏 移 量 175 IP 包 的 ID:14567 | |0|1| 偏 移 量 275 


分 段 2-1 的 载荷 数据 字 节 号 :1400-2199 分 段 2-2 的 载荷 数据 字 节 号 : 2200-2799 
分 段 2-1 分 段 2-2 


图 4.20 传输 中 将 IPv4 包 多 次 分 段 后 需要 改变 各 IP 包头 部 中 3 个 字段 的 值 


此 例 中 1 个 IP 包 在 传输 途中 被 分 成 4 个 IP 包 , 如 果 各 分 段 经 过 不 同 的 路 径 和 不 同 的 
先后 次 序 到 达 目 的 端 ,目的 主机 可 以 用 以 下 方法 重新 组 装 还 原 出 原 IP 包 。 

第 1 个 分 段 的 偏 移 量 字段 是 0。 

将 第 1 个 分 段 的 长 度 除 以 8, 其 值 等 于 第 2 个 分 段 的 偏 移 量 值 。 

将 第 1 和 第 2 个 分 段 的 总 长 度 除 以 8, 其 值 等 于 第 3 个 分 段 的 偏 移 量 值 。 

继续 上 述 步 又 ,直到 最 后 一 个 分 段 , 它 的 “更 多 分 段 M” 比 特 的 值 为 0。 

例 4-5 收 到 一 个 耻 包 ,其 中 标记 字段 的 M 比特 值 为 0。 能 和 否 判断 此 包 是 否 第 1 个 .最 
后 1 个 或 中 间 的 分 段 ? 能 否 判断 该 包 是 否 被 分 段 ? 

答 : 如 果 M 比特 为 0, 说明 没 有 更 多 的 后 续 分 段 ,该 分 段 是 最 后 一 个 。 然 而 ,不 能 判定 
原始 包 是 否 被 分 段 。 一 个 未 被 分 段 的 包 也 被 看 成 是 最 后 一 个 分 段 。 

例 4-6 收 到 一 个 IP 包 , 其 中 标记 字段 的 M 比特 值 为 1。 能 和 否 判断 此 包 是 第 1 个 .最 后 
1 个 或 中 间 的 分 段 ? 能 否 判 断 该 包 是 否 被 分 段 ? 

答 : 如 果 M 比特 为 1, 说 明 至 少 后 续 还 有 一 个 分 段 。 此 分 段 可 以 是 第 1 个 或 中 间 的 分 
段 , 但 不 是 最 后 一 个 。 需 要 参考 分 段 偏 移 量 的 数值 才能 确定 它 是 第 1 个 还 是 中 间 的 分 段 。 

例 4-7 收 到 一 个 IP 包 ,其 中 分 段 偏 移 量 值 为 100, 头 部 长 度 值 为 5, 总 长 度 值 为 100 。 
它 的 数据 的 第 1 个 字 节 和 最 后 1 个 字 节 的 序号 是 多 少 ? 

答 : 第 一 个 字 节 的 序号 是 100X 8 二 800。 头 部 长 度 5X4 二 20B。 总 长 度 为 100B, 载 荷 
数据 长 度 == 总 长 度 一 头 部 长 度 二 80B。 那 么 最 后 一 个 字 节 的 序号 为 879 。 
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(3) 校 验 和 。 

关于 校 验 和 的 详细 计算 方法 参看 附录 B。 首 先 将 IPv4 包 的 头 部 中 的 校 验 和 置 0, 再 将 
头 部 数据 按 16 比特 长 度 分 段 ,将 所 有 的 段 相 加 ,得 到 部 分 和 , 校 验 和 就 是 部 分 和 的 补 码 ,再 
将 其 填写 人 头 部 校 验 和 的 字段 ,然后 发 送 。 在 接收 端 将 收 到 的 IP 包 同 样 分 段 相 加 , 若 得 到 
的 结果 是 FFFF , 则 证 明 传输 无 错 。 

图 4. 21 是 用 十 六 进 制 数 累加 计算 IPv4 头 部 校 验 和 的 一 个 例子 ,不 含 可 选项 的 数据 。 
发 送 端 先 将 IP 头 部 数据 按 16 比特 分 段 .共有 10 段 相 加 ,得 到 部 分 和 ,然后 取 部 分 和 “744E” 
的 补 码 得 到 校 验 和 “8BB1”, 将 其 取代 校 验 和 的 初 值 发 送出 去 。 在 接收 端 和 路 由 器 中 将 IP 
包头 部 的 数据 用 同样 的 方法 累加 ,如 果 计 算 结 果 是 *FFFF”, 则 说 明 传 输 无 误 ,否则 该 包 有 
错 , 丢 弃 。 对 照 图 4. 15 的 IP 包 格式 , 即 可 知道 图 4. 21 中 各 字段 的 含义 。 在 图 5. 4 中 是 采 
用 二 进 制 累加 算法 计算 UDP 校 验 和 的 另外 一 个 实例 。 


4.5 和 0 一 一 4500 
= 001C 
1—— 0001 

1 0 | 0 0 和 0 一 一 0000 
4 17 OP | 4 和 17 一 0411 
0—~ 0000 

10.12.14.5 pe 

12.6.7.9 14.5 一 一 0E05 


IPv4 头 部 (无 可 选项 ) 12.6 一 一 0C06 
7.9 一 一 _0709 

部 分 和 一 一 744E 

校 验 和 一 一 8BB1 


图 4.21 IPv4 头 部 校 验 和 的 计算 举例 


(4) IPv4 头 部 的 可 选项 。 

IPv4 头 部 由 两 部 分 组 成 : 长 度 固定 为 20B 的 部 分 ,和 长 度 可 变 (0 一 40B) 的 可 选 部 分 。 
可 选 部 分 对 于 IP 包 本 身 是 不 需要 的 ,可 用 于 网 络 测试 和 检 错 。 要 求 IPv4 的 软件 能 够 对 可 
选 部 分 进行 处 理 。 对 可 选 部 分 的 详细 讨论 超出 了 本 书 的 范围 ,以 下 仅 进行 简单 的 介绍 ,参看 
图 4. 22。 


= 无 操作 
操作 结束 
可 选项 “站 [一 记录 路 由 
严格 的 源 路 由 
不 严格 的 源 路 由 
时 间 截 


单个 字 节 


图 4.22 IPv4 头 部 中 可 选项 的 功能 
无 操作 : 长 度 1B, 用 于 插入 各 可 选项 中 间 。 
操作 结束 : 长 度 1B, 用 于 填充 在 可 选项 的 尾部 ,也 可 看 成 是 可 选项 的 最 后 部 分 。 
记录 路 由 : 用 于 记录 该 IP 包 所 经 过 的 互联 网 的 路 由 器 ,最 多 可 记录 9 个 路 由 器 的 地 
址 。 可 用 于 网 络 检测 和 管理 目的 。 
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严格 的 源 路 由 : 源 主机 用 它 给 出 该 IP 包 必 须 经 过 的 互联 网 的 路 径 , 这 有 几 个 目的 : 发 
送 方 根据 所 要 求 的 服务 类 型 选择 一 条 路 径 , 如 要 求 最 小 延迟 或 最 大 吞吐 量 等 。 发 送 方 也 可 
由 此 选择 一 条 认为 是 更 安全 或 更 可 靠 的 路 径 , 例 如 ,发 送 方 给 该 IP 包 选 择 一 条 路 径 , 让 它 绕 
开 那 些 业 务 竞争 者 的 网 络 。 

如 果 一 个 IP 包 中 被 定义 了 严格 的 源 路 由 ,必须 要 按 列 出 的 路 由 器 传输 , 当 经 过 的 路 由 
器 没有 在 此 列表 中 ,路 由 器 就 将 此 数据 报 丢 去 ,并 向 源 端 发 送 一 个 出 错 信 息 。 如 果 该 数据 报 
到 达 了 目的 端 ,但 是 列表 中 的 某 些 路 由 器 未 经 过 , 它 也 要 被 丢弃 ,并 发 出 一 个 出 错 信息 。 

不 严格 的 源 路 由 : 它 与 严格 的 源 路 由 类 似 , 但 是 不 严格 执行 。 该 数据 报 必 须 经 过 列表 
中 的 路 由 器 ,但 也 可 以 经 过 其 他 路 由 器 。 

时 间 截 : 用 于 记录 一 个 路 由 器 处 理 该 IP 包 的 时 间 。 时 间 是 GMT 格林 尼 治 国际 标准 
时 间 , 从 午夜 开始 ,以 毫秒 为 单位 。 用 户 和 管理 员 可 以 根据 路 由 器 处 理 该 IP 包 的 时 间 来 了 
解 互 联网 的 路 由 器 的 性 能 。 由 此 估计 IP 包 从 一 个 路 由 器 到 另 一 个 路 由 器 的 时 间 。 

3. IPv4 包 在 网 络 传输 中 的 安全 性 

IPv4 包头 部 中 的 源 和 目的 IP 地 址 等 信息 ,以 及 载荷 数据 等 都 可 以 通过 Wireshark 从 
捕获 的 网 络 数据 中 直接 读 出 , 见 图 4. 15(b) 所 示 的 实例 。 因 此 在 传输 中 存在 一 些 安全 问题 ， 
例如 : 

(1) 可 以 从 网 络 数据 的 源 和 目的 IP 地 址 中 了 解 通信 双方 的 位 置 和 网 络 结构 等 信息 , 黑 
客 可 以 分 析 这 些 头 部 信息 对 目标 网 络 进行 “踩点 ”, 为 攻击 做 准备 。 

(2) 可 以 利用 IP 包头 部 中 可 选项 的 指定 路 由 的 方法 ,进行 “ 源 路 由 攻击 ” 绕 开 防火 墙 等 

(3) 可 以 将 IP 包 携 带 的 恶意 载荷 数据 进行 多 次 微小 分 段 ,逃避 病毒 防火 墙 和 入 侵 检 测 
系统 等 对 包 中 上 层 数据 的 安全 检查 , 待 进入 目的 主机 后 组 装 还 原 从 事 破坏 活动 , 称 为 “微小 


分 段 攻击 ”。 
(4) 黑客 可 以 伪造 发 送 包 中 的 源 IP 地 址 ,或 经 过 多 次 NAT 转换 后 ,隐藏 踪迹 ,躲避 对 
信息 源 的 追踪 定位 。 


在 互联 网 上 传输 时 , 若 需 将 IPv4 包 的 载荷 数据 加 密 ,或 将 整个 IP 包 加 密 ,可 采用 互联 
网 层 的 安全 协议 (IPSec) , 详 见 第 11 章 的 介绍 。 


4.2.3 IPv6 互联 网 协议 


当前 互联 网 主要 用 的 网 络 层 协议 是 IPv4, 提 供 了 互联 网 的 主机 对 主机 的 通信 。 自 从 
20 世纪 70 年 代 开发 出 IPv4 以 来 ,通信 技术 有 了 很 大 的 变化 。 由 于 以 下 这 些 IPv4 的 不 足 ， 
使 它 难以 适应 互联 网 快速 发 展 的 需要 : 

(1) IPv4 互联 网 地 址 的 短缺 是 一 个 长 期 的 问题 , 子 网 分 配 技术 .无 类 地 址 技术 、 
NAT 等 技术 不 能 从 根本 解决 问题 。 

(2) 互联 网 必须 支持 实时 的 音频 和 视频 的 传输 。IPv4 不 具备 这 些 业 务 所 需要 的 最 小 延 
迟 和 网 络 资源 的 预 留 等 功能 。 

(3) 互联 网 必须 支持 某 些 应 用 所 需要 的 数据 加 密 和 身份 认证 等 功能 。 

为 了 解决 这 些 问 题 , 制 定 了 新 的 互联 网 标准 IPv6 或 称 IPng( 互 联网 协议 版 本 6 或 下 一 
代 IP)。 在 IPv6 中 进行 了 大 量 的 改进 ,对 相关 的 协议 (如 ICMP 等 ) 也 做 了 修改 。 其 他 的 协 
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议 ,如 ARP、RARP 和 IGMP 等 ,进行 了 删除 或 包含 在 ICMPv6 协议 中 。 对 RIP 和 OSPF 等 
路 由 协议 也 进行 了 修改 。 通 信 专 家 们 预测 IPv6 及 其 相关 协议 将 要 很 快 取代 当前 的 IPv4 协 
议 。 此 部 分 先 讨论 IPv6 ,然后 介绍 从 IPv4 向 IPv6 的 过 渡 技术 。 

目前 IPv6 的 推广 应 用 较为 缓慢 ,其 原因 是 上 述 子 网 分 配 技术 、 无 类 地 址 技术 、NAT 等 
技术 的 出 现 ,暂时 缓解 了 IPv4 地 址 的 紧缺 状态 。 但 是 , 随 着 移动 IP、IP 电话 、 网 络 安 全 等 新 
业务 领域 的 出 现 ,IPv6 最 终 要 取代 IPv4。 

1. IPv6 协议 的 优点 

(1) 地 址 空间 很 大 : IPv6 的 地 址 为 128 位 , 比 IPv4 的 32 位 地 址 空间 增加 了 2”* 个 。 

(2) 较 好 的 头 部 结构 : IPv6 使 用 了 新 的 头 部 结构 ,可 选项 从 基本 头 部 中 分 离 出 来 , 当 需 
要 时 ,将 其 插入 到 基本 头 部 和 上 层 数据 之 间 。 这 样 的 简化 加 快 了 路 由 器 的 处 理 速度 ,因为 大 
多 数 可 选项 并 不 需要 由 路 由 器 进行 检测 。 

(3) 新 的 可 选项 : 可 以 增加 很 多 新 的 功能 。 

(4) 可 扩展 性 : 当 新 的 技术 和 应 用 需要 的 时 候 ,IPv6 协议 具有 适应 它们 的 可 扩展 性 。 

(5) 支持 网 络 资源 分 配 : 在 IPv6 中 ,服务 类 型 字段 被 取消 了 ,但 是 引入 了 “流标 签 ” 技 
术 , 使 信 源 可 以 对 包 的 传输 处 理 提出 特殊 的 要 求 。 可 以 支持 实时 性 的 音频 和 视频 等 数据 流 。 

(6) 支持 更 好 的 安全 性 : IPv6 中 可 选 的 加 密 和 认证 技术 提供 了 对 包 的 保密 和 完整 性 
保障 。 

2. IPv6 包 的 结构 

图 4. 23 是 IPv6 包 的 结构 ,由 一 个 必需 的 基本 头 部 和 载荷 构成 。 载 荷 又 由 两 部 分 构成 
可 选 的 扩展 头 部 和 上 层 的 数据 。 基 本 头 部 长 40B, 包 含 8 个 字段 ,扩展 头 部 和 上 层 数据 可 携 
带 多 达 65 535B 的 信息 。 


< 
,40B 最 长 65 535B 


| 
基本 头 部 | ”扩展 头 部 (可 选 ) 上 层 数据 包 | 
载荷 
比特 4 4 8 8 8 
一 -| 版 本 6 | 优先 级 流标 答 
载荷 长 度 。 ”____]-- 下 个 头 部 跳 数 限制 
Ec sa 源 IPv6 地 址 
图 目的 IPv6 地 址 
1 -下 个 头 部 头 部 长 度 ”| 
二 
[| 下 个 头 部 头 部 长 度 | 
1 下 个 头 部 头 部 长 度 。 


图 4.23 IPv6 数据 报 结构 


(1) IPv6 的 基本 头 部 包含 的 字段 

版 本 号 (Version) : 4 比特 ,对 于 IPv6 ,其 值 为 6。 

优先 级 (Priority) : 4 比特 ,指定 了 发 自 同一 台 主 机 的 各 包 之 间 的 优先 级 。 例 如 ,出现 网 
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络 拥塞 时 要 抛弃 连续 的 两 个 包 中 的 一 个 ,那么 优先 级 较 低 的 包 将 被 抛弃 。IPv6 将 网 络 数据 
流 分 为 两 类 : 受 拥 塞 控制 的 和 不 受 拥塞 控制 的 。 
流标 签 (Flow Label) : 24 比特 ,指定 了 对 一 个 数据 流 的 特定 处 理 方式 。 
载荷 长 度 (Payload Length): 16 比特 ,标明 了 该 IP 数据 报 的 除 基 本 头 部 以 外 的 长 度 。 
下 个 头 部 (Next Header) : 8 比特 ,指出 了 在 此 IP 包 中 位 于 IP 头 部 之 后 的 下 个 头 部 的 
类 型 。 下 个 头 部 可 以 是 IP 的 可 选择 的 扩展 头 部 之 一 ,也 可 以 是 封装 在 内 部 的 上 层 协议 (如 
UDP 或 TCP) 的 头 部 。 每 个 扩展 头 部 都 包含 此 字段 。 表 4. 8 所 示 为 下 个 头 部 的 对 应 代码 。 
IPv6 头 部 中 的 下 个 头 部 字段 相当 于 IPv4 头 部 中 的 上 层 协 议 字段 。 


表 4.8 IPv6 的 下 个 头 部 字段 的 代码 


下 个 头 部 
分 段 
加 密 的 安全 载荷 
认证 
没有 下 个 头 部 
目的 选项 


跳 数 限制 (Hop Limit) : 8 比特 , 它 的 作用 与 IPv4 中 的 生存 期 相同 。 

源 IP 地 址 : 128 比特 (16B) ,是 该 包 的 源 主机 的 IPv6 地 址 。 

目的 IP 地 址 : 128 比特 (16B) ,是 该 包 的 目的 主机 的 IPv6 地 址 。 但 是 ,如 果 使 用 了 源 路 
由 ,此 字段 包含 的 是 下 一 个 路 由 器 的 IP 地 址 。 

(2) 拥塞 控制 的 数据 流 

当 网络 出 现 拥塞 时 ,如 果 源 主机 能 够 自 适应 地 降低 数据 的 发 送 ,这 样 的 数据 流 称 为 拥塞 
控制 的 数据 流 。 例 如 ,TCP 使 用 了 滑动 窗 协议 ,能够 容易 地 对 网 络 数 据 流量 做 出 反应 。 在 
这 种 情况 下 , 包 可 能 被 延迟 、 丢 失 或 乱 序 。 拥 塞 控制 的 数据 被 分 配 为 0~7 级 优先 级 ,优先 级 
0 是 最 低级 ,优先 级 7 是 最 高 级 ,如 表 4.9 所 示 。 

表 4.9 拥塞 控制 的 数据 流 优先 级 


含义 


0 普通 数据 流 需 关照 的 块 数据 流 
1 | 后 台数 据 保留 
2 无 关照 的 数据 流 交互 式 的 数据 流 


保留 控制 数据 流 


普通 数据 流 : 优先 级 0, 对 该 数据 包 不 定义 优先 级 。 
后 台数 据 : 优先 级 1 ,这些 数据 通常 是 在 后 台 提 供 的 ,例如 实时 提交 的 新 闻 等 数据 。 
无 关照 的 数据 流 : 优先 级 2, 用 户 并 不 急 等 着 接收 该 数据 。 例 如 电子 邮件 等 ,邮件 的 用 
户 并 不 知道 邮件 是 何 时 到 达 的 。 另 外 ,在 邮件 被 转发 之 前 总 是 先 存储 着 ,允许 有 些 延 迟 。 
需 关照 的 数据 流 : 优先 级 4, 用 户 等 待 着 接收 该 数据 ,但 可 以 有 一 点 延迟 ,例如 FTP 和 
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HTTP 等 协议 。 

交互 式 的 数据 流 : 优先 级 6, 例 如 TELNET 协议 ,通信 的 双方 在 实时 进行 数据 交互 。 

控制 数据 流 : 优先 级 7, 是 最 高 优先 级 。 例 如 OSPF 和 RIP 等 路 由 协议 ,以 及 管理 协议 
SNMP 等 ,都 属于 此 最 高 优先 级 。 

(3) 无 拥塞 控制 的 数据 流 

此 类 数据 流 希 望 最 小 的 传输 延迟 ,不 希望 被 抛弃 ,大 多 数 情况 下 是 不 可 能 重 传 的 。 源 主 
机 并 不 会 去 适应 网 络 拥塞 。 实 时 的 音频 和 视频 就 属于 此 类 数据 流 。 

无 拥塞 控制 的 数据 流 的 优先 级 从 8 至 15。 虽 然 还 没有 任何 实际 的 标准 被 分 配给 这 样 
类 型 的 数据 ,这 些 优先 级 是 基于 丢弃 IP 包 会 给 收 到 的 数据 的 质量 带 来 多 大 影响 而 定 的 。 包 

了 较 少 元 余 信 息 的 数据 (例如 高 倍 压 缩 的 低 分 辩 率 的 音频 和 视频 ) 通 常 分 配 较 高 的 优先 级 
15 ,而 包含 了 较 多 宛 余 信 息 的 数据 (例如 高 保 真 的 音频 和 视频 ) 分 配给 较 低 的 优先 级 8 。 

(4) 流标 签 

如 果 从 一 个 源 主机 发 送 到 一 个 目的 主机 的 一 系列 的 包 需 要 得 到 路 由 器 的 特别 的 处 理 ， 
这 些 就 称 为 包 的 流 (flow of packets)。 源 地 址 和 流标 签 的 组 合 , 唯 一 地 定义 了 一 系列 包 
的 流 。 

对 于 路 由 器 ,一 个 流 就 是 具有 共同 属性 的 一 系列 的 包 , 例 如 ,有 同样 的 传输 路 径 、 使 用 同 
样 的 资源 ,有 同样 的 安全 类 型 等 。 支 持 流标 签 处 理 的 路 由 器 有 一 个 流标 签 表 , 表 中 对 每 个 传 
输 的 流标 签 都 有 一 个 表 项 ,每 个 表 项 定义 了 该 流标 签 所 需要 的 服务 。 当 路 由 器 收 到 一 个 包 
时 ,就 对 照 包 中 的 流标 签 和 自己 的 流标 签 表 ,然后 给 该 包 提供 相应 的 服务 。 注 意 , 流 标签 并 
不 向 流标 签 表 提 供 它 所 需要 的 服务 的 信息 , 表 中 的 这 些 信 息 是 通过 其 他 方式 提供 的 ,例如 跳 
对 跳 的 选项 (Hop by Hop Options) 或 者 其 他 协议 。 

最 简单 的 工作 方式 是 ,流标 签 被 用 来 提高 路 由 器 对 包 的 处 理 速度 。 当 一 个 路 由 器 收 到 
一 个 包 后 ,不 用 去 查询 路 由 表 和 通过 一 个 路 由 算法 来 确定 下 一 跳 的 地 址 ,而 是 很 容易 地 从 流 
标签 表 中 查 到 该 包 需 要 转发 的 下 一 跳 的 地 址 。 

在 较 复杂 的 工作 方式 下 ,流标 签 被 用 来 支持 实时 的 数字 音频 和 视频 的 传输 ,它们 需要 高 
的 带宽 ,大 的 缓存 , 较 长 的 处 理 时 间 等 网 络 资源 。 通 过 一 个 进程 可 以 在 传输 实时 数据 之 前 就 
先 将 传输 所 需 的 这 些 网 络 资源 预 留 起 来 ,以 保证 其 实时 性 。 使 用 实时 数据 和 网 络 资源 预 留 ， 
在 IPv6 之 外 还 需要 其 他 协议 ,如 实时 协议 (Real-Time Protocol, RTP) 和 资源 预 留 协 议 
(Resource Reservation Protocol,RSVP) 。 

为 了 有 效 地 利用 流标 签 ,定义 了 3 条 规则 : 

@ 流标 签 是 由 源 主机 指 配 给 一 个 包 的 ,标签 是 介 于 1 和 2” 一 1 之 间 的 一 个 随机 数 。 当 
此 数据 包 的 流 还 在 传输 时 , 源 主机 不 能 将 同样 的 一 个 流标 签 分 配给 另 一 个 新 的 流 使 用 。 

@ 如 果 一 台 主 机 不 支持 流标 签 , 就 将 此 字段 置 0。 如 果 一 台 路 由 器 不 支持 流标 签 ,就 忽 
略 该 标签 。 

@ 属于 同一 个 流 的 所 有 包 都 有 相同 的 源 地 址 .相同 的 目的 地 址 .相同 的 优先 级 和 可 
选项 。 
(5) IPv4 与 IPv6 头 部 的 比较 
@ 在 IPv6 头 部 中 取消 了 头 部 长 度 字 段 , 因 为 IPv6 的 头 部 长 度 是 固定 的 。 

@ 在 IPv6 头 部 中 取消 了 服务 类 型 字段 , 它 的 功能 由 优先 级 和 流标 签字 段 的 组 合 来 
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替代 。 
@ 在 IPv6 的 头 部 中 取消 了 总 长 度 字 段 , 由 载荷 长 度 字段 蔡 代 。 
@ 在 IPv6 的 基本 头 部 中 取消 了 标志 (identification) ,标记 (flag) 和 分 段 偏 移 量 (offset) 
字段 。 它 们 被 包含 在 分 段 扩展 头 部 中 。 
@ 在 IPv6 头 部 中 生存 期 字段 被 称 为 跳 数 限制 (Hop Limit) 。 
@ 上 层 协议 字段 被 下 个 头 部 字段 取代 。 
@ 头 部 校 验 和 被 取消 了 ,因为 校 验 和 的 检 错 功能 在 上 层 协 议 中 已 提供 了 ,网 络 层 不 再 


需要 。 
@ IPv4 中 的 可 选项 字段 等 同 于 IPv6 中 的 扩展 头 部 。 

3. IPv6 数据 包 的 扩展 头 部 

IPv6 的 基本 头 部 长 度 固定 为 40 字 节 。 为 了 扩展 数据 报 的 功能 ,基本 头 部 后 面 可 以 有 
最 多 6 个 扩展 头 部 。 扩 展 头 部 有 6 种 类 型 ,其 中 一 些 在 IPv4 中 属于 可 选项 ,如 图 4. 24 
所 示 。 


跳 对 跳 选 项 填充 1 

源 路 由 上 巨大 的 载荷 

IPv6 扩 展 头 部 一 [分 和 (Pragmentation) | 
加 密 的 安全 载荷 


目的 主机 选项 


图 4.24 IPv6 的 扩展 头 部 类 型 


跳 对 跳 选 项 : 用 于 当 源 主机 需要 将 信息 传 给 该 数据 经 过 的 所 有 路 由 器 时 。 目 前 只 定义 
了 3 种 选项 : 填充 1(Pad 1) ,填充 N 和 巨大 的 载荷 (Jumbo Payload)。 填 充 1 选项 长 度 1 字 
节 , 用 于 列队 (Alignment) 的 目的 。 填 充 N 的 概念 与 填充 1 相同 ,差别 在 于 填充 N 用 于 当 
2 个 或 更 多 的 字 节 需要 列队 的 时 候 。 巨 大 的 载荷 选项 用 于 标明 比 65 535B 还 长 的 载荷 。 

源 路 由 : 源 路 由 扩展 头 部 的 概念 综合 了 IPv4 中 的 严格 源 路 由 和 不 严格 源 路 由 的 选项 。 

分 段 : 分 段 的 概念 与 IPv4 中 的 分 段 相 同 。 但 是 分 段 的 处 理 不 同 ,在 IPv4 中 , 当 IP 包 
的 长 度 大 于 传输 经 过 的 物理 网 络 的 最 大 传输 长 度 MTU 时 , 源 主机 或 路 由 器 就 要 对 IP 包 进 
行 分 段 。 在 IPv6 中 ,只 有 源 主 机 可 以 分 段 。 源 主机 必须 使 用 通道 MTU 发 现 的 技术 来 检测 
出 传输 路 径 上 的 所 有 网 络 中 最 小 的 MTU ,然后 源 主机 就 按 此 最 小 MTU 进行 数据 分 段 。 

认证 : 它 有 两 个 目的 ,用 于 确认 消息 的 发 送 者 ,以 及 保证 数据 的 完整 性 。 

加 密 的 安全 载荷 : 用 于 保密 和 防止 窍 听 。 

目的 主机 选项 : 用 于 当 源 主机 要 将 信息 只 传 给 目的 主机 时 ,途中 的 路 由 器 不 允许 访问 
这 些 信息 。 

IPv4 的 可 选项 与 IPv6 扩展 头 部 的 比较 : @ 在 IPv4 中 的 无 操作 和 选项 结束 被 IPv6 中 
的 填充 1 和 填充 N 所 替代 。@ 在 IPv6 中 不 使 用 记录 路 由 选项 。@ 在 IPv6 中 不 使 用 时 间 
戳 。IPv6 增加 了 加 密 安 全 载荷 扩展 头 部 。@IPv4 中 的 源 路 由 选项 ,在 IPv6 中 是 源 路 由 扩 
展 头 部 。@IPv4 基本 头 部 中 的 分 段 偏 移 量 字段 ,在 IPv6 中 移动 到 分 段 扩展 头 部 中 。 
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4. 网 络 捕获 的 IPv6 数据 包 样 本 

图 4. 25 所 示 为 用 Wireshark 从 以 太 网 中 捕获 的 一 个 IPv6 包 的 样本 。 与 图 4. 15(b) 所 
示 的 IPv4 包 的 上 下 层 协议 的 封装 顺序 是 相同 的 ,差异 仅 在 于 包 中 网 络 层 的 IP 协议 是 不 同 
的 版 本 和 结构 。 


No. . Tine| Source 


Internet Protocol Version 6 
国 0110 .... = Version: 6 
.，0000 0000 


Payload length: 36 
Next header: UDP (0x11) 
Hop limit: 64 
Source: 3ffe:507:0:1:200:86ff:fe05:80da (3ffe:507:0:1:200:86ff:fe05:80da) 
Destination: 3ffe:501:4819::42 (3ffe:501:4819::42) 
User Datagram Protocol, Src Port: wusage (2396), Dst Port: domain (53) 
Domain Name System (query) 


图 4.25 用 Wireshark 捕获 的 以 太 网 中 一 个 IPv6 包 的 样本 


从 图 4. 25 中 可 看 到 : 

(1) 此 数据 帧 在 网 络 上 的 长 度 为 90B, 实 际 捕获 90B。 

(2) 数据 链 路 层 是 100Mbps 以 太 网 (Ethernet IT ) .内 含 源 和 目的 MAC 地 址 。 

(3) 这 是 IPv6 包 ,流量 类 型 为 0, 流 标签 为 0, 载荷 长 度 36 字 节 ,内 封装 UDP 包 , 跳 数 
限制 64, 源 和 目的 IPv6 地 址 。 

(4) 内 封装 的 UDP 包 , 源 端口 2396 ,目的 端口 53。 

(5) 应 用 层 协 议 为 域名 解析 协议 的 查询 请 求 。 协 议 数据 封装 顺序 是 eth: ipv6: udp: dns。 


4.2.4 ”从 IPv4 网 络 到 IPv6 网 络 的 过 渡 技术 方案 


互联 网 上 运行 的 巨大 数量 的 设备 不 可 能 短 时 间 内 从 IPv4 转换 为 IPv6, 过 渡 期 是 较 长 
的 。 过 渡 应 当 是 平滑 地 进行 ,防止 出 现任 何 问题 。 互 联网 工程 任务 组 IETF 为 此 提出 了 
3 种 建议 的 过 渡 方案 : 双 协 议 堆栈 模式 、 隧 道 模式 .IP 头 部 转换 模式 。 

1. 双 协 议 堆栈 模式 

此 方案 中 ,过渡 时 期 内 所 有 互联 网 的 主机 和 路 由 器 都 同时 运行 IPv4 和 IPv6 两 种 协议 ， 
如 图 4. 26 所 示 。 当 要 发 送 包 给 目的 主机 时 , 源 主机 先 查 询 域名 系统 DNS, 如 果 得 到 的 是 
IPv4 地 址 ,那么 源 主 机 就 发 送 IPv4 包 , 如 果 是 IPv6 地 址 ,就 发 送 IPv6 包 。 


应 用 层 
传输 层 上 


Iv4 | | IPv6 


U 底层 的 LAN 


去 IPv4 系 统 中 去 IPv6 系 统 


图 4. 26 双 协 议 堆栈 的 过 渡 模式 
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2. 隧道 模式 

当 两 个 使 用 IPv6 的 计算 机 系统 要 通过 一 个 IPv4 的 区 域 网 络 进行 通信 时 ,可 以 使 用 隧 
道 模式 。 通 过 此 区 域 的 包 必 须 有 IPv4 的 地 址 , 当 IPv6 的 包 进入 该 区 域 的 网 关 路 由 器 时 被 
封装 到 IPv4 的 包 中 , 当 它 离开 该 区 域 时 被 解 封装 还 原 。 这 种 模式 就 像 通过 了 一 个 隧道 ,在 
入 口 端 IPv4 的 包 将 IPv6 包 当 成 载荷 数据 进行 传输 ,并 将 IPv4 头 部 的 协议 字段 设 为 41, 用 
以 表明 这 是 隧道 模式 的 IP 包 , 到 达 隧 道 的 出 口 端 时 ,将 IPv6 包 还 原 输出 ,如 图 4. 27 所 示 。 


IPv4 头 部 
IPv6 头 部 IPv6 头 部 IPv6 头 部 
IPv6 主 机 | ”载荷 载荷 载荷 IPv6 主 机 


图 4.27 利用 IPv4 网 络 传输 IPv6 包 的 隧道 模式 


3. IP 头 部 转换 模式 

当 互 联网 的 大 部 分 已 经 升级 成 为 IPv6 网 络 后 ,如 果 还 有 部 分 系统 是 IPv4 ,就 可 以 用 IP 
头 部 转换 模式 。 此 时 发 送 方 使 用 IPv6 ,但 是 接收 方 还 在 使 用 IPv4, 不 适合 用 隧道 模式 。 而 
是 将 IPv6 的 头 部 完全 转换 为 IPv4 的 头 部 ,如 图 4. 28 所 示 。 头 部 转换 使 用 地 址 映射 的 方 
式 , 下 面 是 将 IPv6 头 部 转换 为 IPv4 的 一 些 过 程 : 

(1) 取出 IPv6 地 址 中 的 最 右 32 位 ,作为 IPv4 的 地 址 。 

(2) 将 IPv6 的 优先 级 字段 抛弃 。 


IPv6 头 部 IPv6 头 部 IPv4 头 部 
IPv6 主 机 载荷 载荷 载荷 IPv4 主 机 
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图 4.28 在 IPv6 网 络 中 采用 头 部 转换 模式 与 IPv4 主机 兼容 


(3) 将 IPv4 头 部 中 的 服务 类 型 字段 的 值 设 为 0。 

(4) 计算 IPv4 的 头 部 校 验 和 ,并 将 计算 结果 插入 该 字段 。 

(5) 不 用 IPv6 的 流标 签 。 将 IPv6 的 兼容 的 扩展 头 部 转换 为 IPv4 的 可 选项 ,丢弃 不 兼 
容 部 分 。 计 算 IPv4 的 头 部 长 度 ,并 将 该 值 插入 相应 字段 。 

(6) 计算 IPv4 的 总 长 度 ,并 将 值 插入 头 部 的 相应 字段 。 


4.3 本 章 要 点 


(1) 在 网 络 层 , 每 一 个 主机 和 路 由 器 必须 指 配 一 个 全 球 唯一 的 IP 地 址 标识 ,才能 将 数 
据 包 在 主机 与 主机 之 间 传 输 。IPv4 地 址 长 32 位 ,用 于 在 互联 网 上 唯一 地 标识 一 台 主 机 或 
路 由 器 。 
(2) 在 分 类 表示 的 IP 地 址 中 ,用 于 标识 网 络 的 部 分 称 为 网 络 ID, 用 于 标识 主机 的 部 分 
称 为 主机 ID。IPv4 地 址 分 为 5 类 ,可 用 第 1 字 节 判定 地 址 的 类 别 。A、B、C 类 地 址 用 于 单 
“了 了 31 二 


播 ,它们 的 差别 在 于 每 个 网 络 的 主机 地 址 数 不 同 。D 类 地 址 用 于 组 播 'E 类 保留 。 

(3) 子 网 划分 技术 可 将 大 的 网 络 分 为 若干 较 小 的 子 网 ,在 分 层 的 IP 地 址 中 增加 了 一 个 
子 层 。 超 网 技术 可 将 几 个 网 络 组 合 为 一 个 大 的 网 络 。 

(4) 在 无 类 地 址 方案 中 ,可 将 地 址 空间 分 为 可 变 长 的 地 址 块 。 块 的 划分 有 3 个 限制 : 每 
个 块 内 的 地 址 数 必须 是 2 的 指数 ,必须 包括 用 于 区 分 地 址 块 的 子 网 掩 码 ,地 址 块 内 的 第 1 个 
地 址 号 必须 能 被 块 内 的 地 址 数 整除 。 

(5) 在 CIDR 表示 中 ,无 类 地 址 中 的 掩 码 用 前 缀 长 度 /n 表示 。 块 中 的 第 1 个 地 址 就 是 
将 地 址 最 右边 的 32 一 n 位 比特 置 0。 块 中 的 最 后 一 个 地 址 是 将 地 址 最 右 的 32 一 ?位 比特 置 
1。 块 中 的 地 址 数 等 于 2 “"。 

(6) 全 球 互联 网 地 址 由 ICANN 分 配 , 它 将 大 地 址 块 分 配给 ISP,ISP 再 将 小 的 地 址 块 
分 配给 单位 和 个 人 用 户 。 

(7) IPv6 地 址 空间 128 位 ,可 用 十 六 进 制 加 冒号 分 段 表 示 ,可 采用 缩写 方式 。IPv6 地 
址 分 为 3 类 : 单 播 \ 任 播 和 组 播 。 可 变 长 的 前 级 部 分 定义 了 地 址 的 类 型 。 

(8) IPv4 是 一 个 不 可 靠 的 无 连接 的 协议 ,用 于 从 源 到 目的 主机 之 间 的 IP 包 传 输 。 
IP 包 由 20~60B 长 的 头 部 和 载荷 数据 组 成 。 头 部 的 固定 部 分 长 20B, 可 选 部 分 的 长 度 可 
变 , 最 大 为 40B。 头 部 可 选 部 分 用 于 网 络 测试 和 检 错 。IPv4 载荷 数据 的 最 大 长 度 65 535B。 

(9) MTU 是 各 类 网 络 的 数据 链 路 层 协议 所 能 封装 的 最 大 字 节 数 ,不同 网 络 的 MTU 不 
同 。 当 网 络 的 MTU 小 于 IP 包 长 度 时 ,要 将 IP 包 分 段 传输 。 

(10) IPv4 的 可 选 部 分 有 6 类 ,其 功能 分 别 是 : 放 在 可 选 部 分 之 间 的 用 于 调整 的 目的 、 
填充 ,记录 数据 报 的 路 由 ,由 发 送 方 指定 的 严格 的 传输 路 径 , 指 定 IP 包 选 择 访问 的 路 径 , 记 
录 路 由 器 的 处 理 时 间 。 

(11) IPv6 包 由 基本 头 部 和 载荷 组 成 , 它 的 头 部 格式 经 过 了 改进 ,增加 了 新 的 选项 ,允许 
扩展 ,支持 网 络 资源 预 留 ,增加 了 安全 性 。 它 的 扩展 头 部 增加 了 功能 。 

(12) 从 IPv4 网 络 到 IPv6 网 络 的 过 渡 技 术 方 案 有 3 种 模式 : 双 协 议 堆 栈 模式 ,隧道 模 
式 , 头 部 转换 模式 。 


习题 与 实践 


1. Internet 上 一 个 网 络 的 子 网 掩 码 为 255. 255. 240. 0。 请 问 它 最 多 能 够 处 理 多 少 台 
主机 ? 

2. 某 ISP 分 配 到 网 络 地 址 为 150. 80. 0. 0/16 。 他 想 把 这 些 地 址 分 配给 2600 个 用 户 : 
a. 第 一 个 群 拥有 200 个 中 型 商业 机 构 ,每 个 机 构 需 要 128 个 地 址 ; 
b. 第 二 个 群 拥有 400 个 小 型 商业 机 构 ,每 个 机 构 需 要 16 个 地 址 ; 
c. 第 三 个 群 拥有 2000 个 住户 ,每 个 住户 需要 4 个 地 址 。 

设计 子 网 ,并 找 出 安置 结束 后 仍然 可 用 的 地 址 有 多 少 个 ? 

3. 下 列 地 址 各 是 什么 类 型 ? 
a 0::0 b. 0: :FFFF:0:0 
c.582F:1234:2222 d. 4821::14:22 
e. 54EF::A234:2 

.132 。 


4. 把 下 列 地 址 表示 成 IPv6 地 址 。 
a. 与 IPv4 地 址 129. 6. 12. 34 兼容 的 地 址 
b. 映射 IPv4 地 址 129. 6. 12. 34 的 地 址 
5. 某 机 构 被 授权 使 用 网 络 地 址 16. 0. 0. 0/8。 其 管理 员 想 要 创建 500 个 定 长 子 网 。 试 


a. 子 网 掩 码 b. 每 个 子 网 的 地 址 数量 
c. 子 网 1 的 首 末 地 址 d. 子 网 500 的 首 末 地 址 
6. 在 路 由 器 之 间 传 送 时 ,IPv4 头 部 的 哪个 字段 会 发 生变 化 ? 
7. 利用 Wireshark 捕获 网 络 中 的 IPv4 包 , 参 照 图 4. 15(b) 所 示 的 案例 ,分 析 和 解释 
IPv4 包 中 各 字段 的 内 容 和 用 途 。 写 出 实验 分 析 报 告 。 
8. 利用 Wireshark 捕获 网 络 中 的 IPv6 包 , 参 照 图 4. 25 所 示 的 案例 ,分 析 和 解释 IPv6 
包 中 各 字段 的 内 容 和 用 途 。 写 出 实验 分 析 报 告 。 
9.“ 尽 力 而 为 地 传输 ”(best effort transfer) 的 含义 是 什么 ? 为 什么 说 IP 通信 是 尽力 而 


为 的 通信 ? 
10. 在 IPv6 中 ,一 个 包 的 生存 时 间 受 头 部 中 字段 的 限制 。 
a. 版 本 b. 优先 权 到 下 一 个 头 部 d. 跳 数 限制 
e. 邻近 方 通告 


11. 给 出 路 由 器 R1 的 路 由 表 如 下 ,请 确定 网 络 的 拓扑 结构 。 


12. 从 www. freenet6. org 获取 一 块 IPv6 地 址 空间 , 同 你 的 本 地 计算 机 建立 一 个 IPv6 
隧道 。 有 些 测试 站 点 (http: //ipv6-test. singnet. con. sg) 会 报告 你 是 否 通过 IPv6 连接 。 写 
出 实验 报告 。 

13. 简 述 CIDR 和 NAT 在 解决 IPv4 地 址 空间 短缺 问题 中 所 起 的 作用 。 你 的 计算 机 上 
网 时 使 用 的 IP 地 址 是 什么 ? 属于 什么 类 型 的 IP 地 址 ? 

14. 讨论 一 个 能 够 使 用 IPv6 的 应 用 程序 (如 电子 邮件 服务 ) 中 需要 包含 什么 条 件 ? 

15. 在 一 台 网 络 计算 机 上 ,利用 Wireshark 网 络 协议 分 析 软 件 捕 获 本 机 的 网 络 端口 数 
据 , 分 析 自 己 的 计算 机 与 其 他 网 络 计 算 机 之 间 的 实际 通信 过 程 ,对 照 图 1. 15 的 协议 关系 解 
读 每 个 数据 包 的 结构 , 写 出 实验 报告 。 
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第 5 章 传输 层 协议 及 其 攻击 案例 


互联 网 模型 中 的 传输 层 有 3 个 协议 : 用 户 数 据 报 协 议 (UDP) ,传输 控制 协议 (TCP) , 数 
据 流 控制 传输 协议 (SCTP) 。 本 章 首 先 讨 论 较 简单 的 UDP 协议 ,然后 介绍 TCP 协议 ,对 新 
增加 的 SCTP 协议 做 一 些 简 介 , 它 适 合 于 多 媒体 通信 等 领域 的 多 宿 和 多 数据 流 的 应 用 。 

传输 层 负 责 将 整个 消息 报 文 (Message) 进 行 “ 进 程 对 进程 (Process to Process) "的 传 
输 ,“ 进 程 ” 指 的 是 在 网 络 主 机 中 运行 的 一 个 运用 程序 。 而 网 络 层 负责 的 是 将 单个 的 IP 包 进 
行 “ 源 主机 对 目的 主机 ”的 传输 , 它 并 不 关心 这 些 IP 包 之 间 的 关系 , 它 对 每 个 包 的 处 理 是 独 
立 的 。 传 输 层 则 要 保证 整个 消息 报 文 以 正确 的 顺序 传输 到 位 ,要 进行 差错 检测 和 流量 控制 。 

在 一 台 网 络 主机 上 通常 要 同时 运行 多 个 不 同 的 应 用 程序 ,因此 除了 将 消息 从 源 主机 传 
输 到 目的 主机 之 外 ,还 要 考虑 将 源 主 机 的 一 个 特定 的 进程 数据 传输 到 目的 主机 的 一 个 特定 
的 进程 。 因 此 传输 层 的 头 部 必须 包含 有 OSI 参考 模型 中 的 “服务 访问 点 地 址 ”, 也 就 是 端口 
号 地 址 。 

传输 层 协议 可 以 是 无 连接 的 或 面向 连接 的 。 无 连接 的 传输 层 协议 将 每 个 数据 报 作为 一 
个 独立 的 包 传 输 给 目的 主机 。 而 面向 连接 的 传输 层 协议 在 传输 数据 包 之 前 ,必须 要 与 目的 
主机 的 传输 层 建立 连接 , 当 所 有 的 数据 传输 完 后 ,要 终止 此 连接 。 

在 传输 层 ,消息 报 文 被 分 割 为 长 度 适 于 传输 的 数据 段 。 无 连接 的 协议 (如 UDP) 将 每 个 
数据 段 独立 传输 。 而 面向 连接 的 协议 (如 TCP 和 SCTP) 要 给 每 个 数据 段 进 行 顺序 编号 ,以 
建立 各 段 之 间 的 排列 关系 。 

与 数据 链 路 层 的 功能 相同 的 是 ,传输 层 也 要 进行 流量 控制 和 差错 控制 ,但 不 同 的 是 , 传 
输 层 的 流量 控制 和 差错 控制 是 在 终端 主机 与 终端 主机 的 相同 进程 之 间 进 行 ,而 数据 链 路 层 
的 流量 控制 和 差错 控制 只 是 在 一 个 网 段 的 两 个 节点 内 进行 。 传 输 层 的 用 户 数据 报 协议 不 进 
行 流量 和 差错 控制 ,但 是 另外 两 个 协议 TCP 和 SCTP 要 使 用 滑动 窗 进 行 流量 控制 ,使 用 确 
认 (ACK) 进 行 差错 控制 。 

很 多 危害 网 络 安全 的 恶意 行为 也 是 利用 传输 层 协议 进行 的 ,本 章 给 出 了 一 些 实际 案例 
分 析 。 


5.1 进程 对 进程 的 传输 


如 图 5. 1 所 示 : 

(1) 数据 链 路 层 的 职责 是 将 数据 帧 在 一 个 网 段 上 相 邻 的 两 个 节点 (node) 之 间 传 送 , 称 
为 “节点 对 节点 的 传输 ”。 数 据 帧 的 传递 使 用 MAC 地 址 寻 址 。 

(2) 网 络 层 的 职责 是 将 IP 包 在 两 台 网 络 主机 之 间 传 送 , 称 为 “主机 对 主机 的 传输 ”。 
IP 包 的 投递 使 用 IP 地 址 寻 址 。 

(3) 互联 网 的 通信 是 发 生 在 两 个 应 用 程序 之 间 的 ,例如 用 IE 浏览 器 访问 Web 网 页 , 因 
此 需要 的 是 “进程 对 进程 的 传输 ” 。 在 互联 网 通信 的 任 一 时 刻 ,在 源 主机 上 都 可 能 有 几 个 不 
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若干 不 同 进程 若干 不 同 进程 
数据 链 路 层 : 节点 对 节点 ， 传 输 帧 ， 使 用 MAC 地 址 
网 络 层 : 主机 对 主机 ， 传 输 分 组 包 ， 使 用 耳 地 址 
传输 层 : 进程 对 进程 ， 传 输 数据 段 ， 使 用 端口 号 
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传输 层 , 进程 对 进程 传输 分 段 (Segment), 用 端口 号 
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图 5.1 互联 网 通信 中 各 层 的 功能 和 寻 址 方式 比较 


同 的 进程 同时 运行 (例如 电子 邮件 .Web 访问 .QQ 聊天 等 ) ,也 有 几 个 不 同 的 进程 运行 在 目 
的 主机 上 。 为 了 实现 各 不 同 进程 数据 传输 的 准确 寻 址 ,需要 将 某 一 进程 的 数据 从 源 主机 的 
某 一 端口 地 址 传输 到 目的 主机 上 运行 的 代表 同一 进程 的 某 一 ee 传输 层 的 职责 是 
将 数据 段 (segment, 报 文 的 一 部 分 ) 或 数据 报 (完整 的 报 文 ) 进 行 “进程 对 进程 的 传输 ”, 使 用 
端口 地 址 寻 址 。 

1. 客户 /服务 器 模式 

虽然 有 几 种 不 同 的 方式 都 可 以 进行 “进程 对 进程 的 传输 ”, 例 如 图 1. 5 所 示 的 P2P 对 等 
协议 的 应 用 ,但 是 用 得 最 多 的 是 客户 /服务 器 的 模式 。 在 本 地 主机 上 运行 一 个 称 为 "客户 ”的 
进程 ,与 运行 在 远 端 主机 上 称 为 “服务 器 "的 进程 连接 以 获取 服务 。 这 两 个 进程 (客户 /服务 
器 ) 有 同样 的 名 称 , 例 如 ,要 进行 Web 浏览 ,在 本 地 主机 上 要 运行 HTTP 的 客户 进程 ,通过 
网 络 访问 运行 在 远 端 主机 的 HTTP 服务 器 进程 ,以 获取 网 页 的 信息 。 

如 今 的 操作 系统 都 支持 多 用 户 和 多 程序 的 运行 环境 。 远 端的 主机 可 以 同时 运行 几 个 不 
同 的 服务 器 进程 ,本 地 主机 也 可 以 同时 运行 几 个 不 同 的 客户 进程 。 为 了 实现 不 同 进程 间 的 
分 别传 输 ,需要 定义 各 主机 的 进程 通信 的 寻 址 方式 。 

2. 寻 址 方式 

如 前 所 述 ,在 数据 链 路 层 , 如 果 要 在 有 多 个 节点 的 网 络 环境 中 ( 除 PPP 通信 外 ) 传 输 数 
据 帧 ,就 需要 使 用 目的 主机 的 物理 (MAC) 地 址 来 进行 数据 帧 的 投递 .还 需要 使 用 源 主 机 的 
物理 地 址 以 便 接 收回 应 。 

在 网 络 层 ,使 用 IP 地 址 在 千 万 个 互联 网 的 用 户主 机 中 进行 寻 址 。 网 络 层 的 IP 包 需 要 
用 目的 IP 地 址 进行 投递 ,还 需要 源 IP 地 址 来 接收 回应 。 

在 传输 层 , 当 数据 段 到 达 目 的 主机 后 ,为 了 在 目的 主机 上 运行 的 多 个 进程 中 寻 址 ,需要 
使 用 端口 号 。 目 的 端口 号 用 于 数据 段 的 投递 , 源 端 口号 用 于 接收 回应 。 

传输 层 的 包 结 构 中 寻 址 的 端口 号 是 16 比特 的 整数 ,可 表达 的 数 有 2” 一 1 个 ,用 十 进 制 
数 表 达 的 范围 在 0 一 65 535 之 间 。 当 每 次 运行 一 个 进程 时 ,在 客户 机 上 的 传输 层 软件 随机 
地 选择 客户 端 程序 的 端口 号 ,以 标识 本 次 进程 ,这 称 为 “临时 端口 号 ”。 

服务 器 的 进程 也 需要 用 端口 号 标识 ,但 它 不 能 随机 选择 。 如 果 服 务 器 的 进程 使 用 随机 
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端口 号 ,那么 当 客 户 端 发 起 一 个 进程 时 就 不 知道 应 该 与 服务 器 的 哪个 端口 通信 。 因 此 互联 
网 上 的 每 种 服务 器 的 进程 必 ee 公认 端口 号 (Well Known Port Number)”， 
这 样 让 每 个 进程 的 客户 端 都 明确 知道 应 当 与 相应 的 服务 器 端口 号 进行 联系 。 
IP 地 址 与 端口 号 的 功能 是 不 同 的 。 一 个 IP 包 在 网 络 上 传输 投递 时 ,利用 目的 IP 地址 
找到 了 互联 网 上 的 目的 主机 ,然后 再 利用 其 中 的 端口 号 找到 目的 进程 。 
3. 端口 地 址 的 分 类 
IANA(Internet Assigned Number Authority) 将 16 比特 的 端口 号 划分 为 3 个 区 间 : 公 
认 端 口号 ,注册 端口 号 ,动态 的 临时 端口 号 。 
。 公认 端口 号 : 范围 在 0 一 1023 之 间 , 由 IANA 指定 和 控制 。 附 录 A 给 出 了 一 些 常用 
的 公认 端口 号 .名称 及 其 用 途 。 更 详细 的 公认 端口 号 列表 ,可 参看 官方 网 址 。 
。 注册 端口 号 : 范围 在 1024 一 49 151 之 间 ,它们 不 由 IANA 控制 ,但 是 需要 使 用 这 些 
端口 号 的 用 户 必须 向 IANA 进行 注册 ,以 避免 重复 和 冲突 。 
。 动态 端口 号 : 范围 在 49 152 一 65 535 之 间 , 这 些 端 口号 的 使 用 不 需要 注册 也 不 受 控 
制 。 它 们 由 进程 随机 地 选择 使 用 。1024 以 上 的 端口 号 也 称 为 临时 端口 号 。 
4. 套 接地 址 
进程 对 进程 的 传输 需要 有 两 类 标识 , 即 IP 地 址 和 端口 号 ,以 便 准确 进行 网 络 主机 之 间 
的 进程 与 进程 的 通信 。IP 地 址 ,端口 地 址 与 传输 层 的 协议 类 型 的 组 合 称 为 套 接地 址 
(Socket Address)。 传 输 层 协议 需要 有 本 地 主机 和 远 端 主机 的 两 个 套 接地 址 来 进行 通信 传 
输 。 本 地 主机 的 套 接地 址 (Local Address) 唯 一 地 标识 了 本 机 中 的 进程 ,外 部 主机 的 套 接地 
址 (Foreign Address) 也 唯一 地 标识 了 通信 对 方 主机 的 进程 ,二 者 结合 在 一 起 ,加 上 传输 层 
协议 的 类 型 , 共 含有 5 个 参数 ,它们 唯一 地 确定 了 一 个 进程 对 进程 的 传输 。 可 参看 第 1. 2. 3 
节 给 出 的 例子 ,以 及 按照 第 7. 1 节 中 Windows 命令 提示 符 下 C:\netstat -an 的 命令 ,查看 
自己 计算 机 的 网 络 通信 状态 的 套 接地 址 清单 。 
套 接地 址 的 全 部 信息 都 包含 在 一 个 了 了 包 中 。 在 了 了 包头 部 包含 了 源 主机 和 目的 主机 的 
IP 地 址 ,内 部 封装 的 UDP 或 TCP 数据 段 的 头 部 含有 源 端 口 地 址 和 目的 端口 地 址 。 
5. 多 路 复 用 与 多 路 分 离 
有 了 标识 各 个 不 同 进程 的 端口 号 ,传输 层 就 可 以 利用 源 主机 和 目的 主机 之 间 的 一 条 
IP 传输 信道 进行 多 个 进程 的 多 路 复 用 传输 和 多 路 分 离 传输 ,参看 图 1. 11。 
。 多 路 复 用 : 在 发 送 端 , 源 主机 可 能 运行 了 多 个 进程 ,都 需要 将 数据 发 送 给 同一 
的 主机 的 多 个 不 同 的 进程 。 例 如 ,利用 下 浏览 器 同时 下 载 同一 Web 服务 器 上 的 多 
条 新 闻 等 。 传 输 层 从 上 面 不 同 的 进程 获取 数据 ,给 它们 加 上 了 含有 不 同 端口 号 的 头 
部 ,再 向 下 传 给 互联 网 层 , 构 成 PP 包 后 通过 网 络 发 送 给 目的 主机 中 的 不 同 进程 。 在 
此 过 程 中 ,各 IP 包 的 源 和 目的 IP 地址 都 是 相同 的 ,但 是 端口 地 址 不 同 。 
多 路 分 离 : 当 这 些 IP 包 到 达 目 的 主机 的 网 络 层 后 再 上 传 ,传输 层 收 到 了 这 些 数据 
报 , 经 过 差错 检测 后 ,去 掉 传 输 层 的 头 部 .根据 端口 号 将 这 些 数据 分 别 送 到 相应 的 
进程 。 
6. 无 连接 与 面向 连接 的 传输 服务 
。 无 连接 的 服务 : 数据 包 在 主机 之 间 的 传输 不 需要 先 建立 连接 。 对 传输 的 数据 包 不 
需要 进行 编号 ,它们 在 传输 中 可 能 被 丢失 、 延 迟 ,或 到 达 目 的 主机 时 先后 乱 序 。 目 的 
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主机 是 否 收 到 了 这 些 包 , 也 不 需要 向 源 主机 发 回 确认 信息 。 用 户 数 据 报 协议 提供 的 
是 无 连接 的 传输 服务 。UDP 协议 是 无 连接 的 和 不 可 靠 的 , 它 传输 的 是 用 户 数据 报 
(User Datagram ) 。 
面向 连接 的 服务 : 在 传输 数据 之 前 ,首先 要 在 通信 的 双方 之 间 建 立 连 接 , 数 据 传输 
结束 后 ,还 要 释放 连接 。TCP 和 SCTP 是 面向 连接 的 传输 层 协议 。TCP 是 可 靠 的 
和 面向 连接 的 协议 , 它 传输 的 是 数据 段 。SCTP 也 是 可 靠 的 和 面向 连接 的 协议 , 它 
传输 的 是 数据 包 ( 分 组 Packet) 。 它 们 分 别 对 不 同类 型 的 应 用 层 业 务 提供 传输 服务 。 
传输 层 协议 在 互联 网 协议 族 中 的 封装 位 置 ,请 参看 图 1. 15 和 图 1. 19 。 

7. 可 靠 的 与 不 可 靠 的 传输 服务 

传输 层 的 服务 可 以 分 为 可 靠 的 和 不 可 靠 的 两 种 。 如 果 应 用 层 的 应 用 程序 需要 的 是 可 靠 的 
传输 服务 ,那么 就 使 用 可 靠 的 传输 层 协议 (例如 TCP 协议 ) ,进行 流量 和 差错 控制 ,但 传输 要 慢 
一 些 , 并 且 传输 过 程 较 复 杂 。 如 果 应 用 程序 需要 的 传输 服务 不 强调 可 靠 性 ,不 需要 流量 和 差错 
控制 ,但 是 要 求 快速 和 实时 传输 ,那么 就 使 用 不 可 靠 的 传输 层 服务 (例如 UDP 协议 ) 。 


5.2 用 户 数据 报 协议 


用 户 数据 报 协议 是 无 连接 的 ,不 可 靠 的 传输 层 协议 。 它 在 IP 层 服务 的 基础 上 提供 进程 
对 进程 的 传输 。 它 的 检 错 功能 是 很 有 限 的 。 由 于 UDP 协议 很 简单 ,传输 数据 时 的 额外 开 
销 很 小 , 它 适用 于 传输 那些 要 求 延 时 量 小 ,而 对 可 靠 性 要 求 不 高 的 应 用 进程 。 例 如 ,DNS 查 
询 IP 电话 、 网 络 视频 点 播 等 。 
5.2.1 UDP 协议 使 用 的 公认 端口 号 

表 5.1 为 UDP 协议 使 用 的 部 分 公认 端口 号 ,详细 介绍 参看 附录 A。 有 些 端口 号 是 
UDP 和 TCP 共用 的 ,关于 这 些 端 口号 在 介绍 TCP 协议 时 还 要 进一步 讨论 。 

表 5.1 UDP 常用 的 部 分 公认 端口 号 


端 口 号 协 议 说 明 

7 Echo 当 收 到 一 个 数据 报 后 ,给 发 送 方 的 响应 
9 Discard 抛弃 任何 收 到 的 数据 报 

11 Users 在 线 的 活动 用 户 

ls Daytime 返回 日 期 和 时 间 

17 Quote 返回 当天 是 星期 几 

19 Chargen 返回 一 串 字 符 

53 Name Server 域名 解析 服务 器 

67 BOOTPs DHCP 动态 主机 配置 协议 的 服务 器 端口 
68 BOOTPs DHCP 动态 主机 配置 协议 的 客户 端口 
69 TFTP 简单 文件 传输 协议 
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续 表 


说 明 


111 远程 过 程 调用 
123 | NIP 网 络 时 间 协 议 
161 简单 网 络 管理 协议 


简单 网 络 管理 协议 (trap) 


5.2.2 UDP 的 数据 报 结构 


UDP 的 包 称 为 用 户 数据 报 (User Datagram), 有 一 个 固定 的 头 部 长 度 8 字 节 ,数据 报 的 
结构 如 图 5. 2 所 示 。 各 字段 的 内 容 如 下 : 


比特 : 16 16 16 16 


UDP 头 部 | ”数据 (必须 加 入 填充 至 16 比 特 的 整数 倍 ) 


图 5.2 用 户 数据 报 结构 


。 源 端口 号 : 源 端 口号 为 16 位 长 ,范围 在 0 一 65 535 之 间 。 如 果 此 UDP 包 的 源 主机 
是 客户 (如 DNS 客户 机 发 送 请 求 到 DNS 服务 器 ,请求 地 址 解析 ) ,那么 大 多 数 情况 
下 此 源 端口 号 是 一 个 临时 端口 号 ,由 UDP 软件 随机 选取 。 如 果 源 主机 是 服务 器 (如 
DNS 服务 器 对 客户 的 响应 ) ,那么 大 多 数 情 况 下 此 源 端口 号 是 公认 端口 号 。 

。 目的 端口 号 : 目的 端口 号 也 是 16 位 长 .范围 在 0 一 65 535 之 间 。 如 果 目 的 主机 是 服 
务 器 (如 发 往 DNS 服务 器 的 地 址 解析 的 请 求 包 ) ,那么 大 多 数 情况 下 ,目的 端口 号 是 
公认 端口 号 。 如 果 目 的 主机 是 客户 (如 DNS 服务 器 发 往 客户 的 响应 包 ) ,那么 此 目 
的 端口 号 是 先前 收 到 的 客户 请 求 包 中 的 临时 端口 号 。 

。 长 度 字 段 : 也 是 16 位 , 它 标识 了 此 用 户 数据 报 的 总 长 度 , 即 头 部 长 度 加 上 数据 长 度 ， 
范围 是 0 一 65 535 字 节 (实际 中 ,因为 IP 长 度 的 最 大 值 也 是 16 位 所 能 表示 的 
65 535B,UDP 的 最 大 长 度 应 是 65 535 减 去 IP 头 部 长 度 ) 。 

。 校 验 和 : 关于 校 验 和 的 计算 方法 见 附录 B, 在 此 处 用 于 UDP 的 检 错 。 在 IP 包头 部 
的 校 验 和 仅 对 IP 头 部 数据 进行 检 错 ,而 UDP 的 校 验 和 与 IP 及 ICMP 的 校 验 和 有 
所 不 同 , 它 的 计算 及 检 错 范围 包括 3 个 部 分 : 伪 头 部 、UDP 头 部 和 载荷 数据 。 伪 头 
部 是 IP 包头 部 的 一 部 分 (参看 图 4. 15) , 校 验 和 的 计算 也 包括 伪 头 部 ,其 目的 是 为 了 
保证 当 IP 头 部 出 现 差 错时 ,此 用 户 数据 报 不 会 传 到 错误 的 主机 去 。 

在 UDP 中 是 否 计 算 校 验 和 ,以 及 是 否 将 结果 填 人 数据 报头 部 是 可 选 的 。 如 果 不 计 算 
校 验 和 ,那么 就 用 16 个 1 填充 在 头 部 的 校 验 和 的 字段 里 ,因为 校 验 和 为 16 个 1, 意 味 着 部 
分 和 是 全 0, 这 在 实际 中 是 不 可 能 出 现 的 。 校 验 和 的 计算 与 检 错 的 范围 如 图 5. 3 所 示 。 

。 协议 字段 : 用 于 标识 此 包 属 于 UDP 协议 。 因 为 ,有 些 应 用 进程 可 以 使 用 UDP 也 可 

使 用 TCP 传输 ,而 使 用 的 端口 号 是 相同 的 。 此 协议 字段 的 值 : UDP 为 17, TCP 
为 6。 注意 , 伪 头 部 与 IP 头 部 的 最 后 12 字 节 的 相似 之 处 。 
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1 1 2 


UDP 和 TCP 


的 伪 头 部 结 源 了 地 址 


0 17 UDP 长 度 | 


构 相同 , 但“ 字 节 : 12 
中 的 协议 字 


i 检验 和 


段 为 17, 而 


UDP 伪 头 部 | 3 源 庙 吕 地址 


TCP 为 6 


数据 填充 


5.3 用 户 数据 报 校 验 和 的 计算 范围 包括 伪 头 部 、 头 部 、 数 据 和 填充 


。 UDP 校 验 和 Checksum 计算 举例 : 详细 计算 方法 介绍 参看 附录 B。 图 5. 4 为 一 个 查 
询 日 期 时 间 ( 目 的 端口 为 13) 的 UDP 包 的 计算 实例 ,载荷 中 有 7 个 ASCII 码 信息 
“TESTING”( 看 附录 FF ASCII 编码 表 ) ,然后 填充 8 个 0, 以 满足 载荷 长 度 是 16 位 的 
整数 倍 。 在 发 送 端 ,首先 将 校 验 和 字段 初 值 设 为 16 个 0, 然 后 将 全 部 数据 分 为 16 比 
特长 的 14 段 , 按 图 示 进 行 带 进位 的 二 进 制 数 的 累加 计算 ,累加 的 结果 称 为 “部 分 
和 ”, 然 后 取 “ 部 分 和 ”的 反 码 就 得 到 “ 校 验 和 ”, 将 此 “ 校 验 和 ”替换 头 部 中 全 为 0 的 校 
验 和 初 值 ,然后 发 送出 去 。 当 接收 方 收 到 此 UDP 包 后 ,进行 同样 的 计算 ,如 果 累 加 
结果 为 16 个 1, 则 传输 无 错 ,取出 载荷 信息 “TESTING” 交 给 应 用 层 处 理 。 如 果 累 加 
结果 不 是 16 个 1 ,说 明 传输 有 误 , 则 将 整个 数据 包 丢 弃 。 此 例 是 用 带 进 位 的 二 进 制 
计算 方法 ,而 图 4. 21 所 示 为 用 带 进位 的 十 六 进 制 数 计算 ,原理 是 同样 的 。 


淆 153.18.8.105 ( 源 I 人 P 地 址 ) 

东 1722.14.10 (目的 IP 地 址 ) 

“| 8 人 0 -II7(UDPthi) 15(UDP 总 长 ) 

浴 1087( 源 端口) 13 (目的 端口 ) 

水 15(UDP 总 长 ) 16 个 0( 校 验 和 初 值 ) 一 -| 
由 T E S 

洗 I N G 


10011001 00010010 -一 153.18 
00001000 01101001 -一 8.105 
10101011 00000010 -一 171.2 
00001110 00001010 -一 14.10 


图 5.4 UDP 校 验 和 的 计算 举例 


5.2.3 UDP 数据 报 的 传输 


UDP 提供 的 是 无 连接 的 服务 , 它 发 送 的 每 个 用 户 数据 报 都 是 相互 独立 的 ,对 这 些 数据 
报 也 不 进行 编号 。 传 输 数 据 前 不 需要 先 建立 连接 , 它 是 简单 的 ,不 保证 接收 者 能 收 到 ,也 没 
有 流量 控制 的 机 制 , 因 此 当 传 输 的 数据 量 大 时 ,接收 端 可 能 会 出 现 溢出 。 除 了 校 验 和 以 外 ， 
UDP 没有 其 他 差错 控制 的 机 制 , 当 收 到 的 用 户 数 据 报 出 错 后 ,就 将 其 抛弃 ,也 不 通知 发 送 


方 。UDP 包 被 封装 在 IP 包 内 传输 。 
5.2.4 UDP 协议 的 应 用 领域 


(1) UDP 适用 于 那些 只 要 求 简单 的 "请求 一 响应 
一 般 不 会 用 于 要 求 可 靠 地 传输 大 量 数据 的 应 用 中 ， 


应 用 。UDP 很 少 考虑 流量 和 差错 控制 。 


” 式 的 通信 应 用 ,例如 ,DNS、DHCP 等 
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如 文件 传输 协议 (FTP) 等 。 

(2) 由 于 UDP 没有 流量 和 差错 控制 能 力 .适用 于 传输 那些 本 身 具 有 内 部 流量 和 差错 控 
制 机 制 的 进程 。 例 如 ,简单 文件 传输 协议 (TFTP) 的 进程 ,其 自身 已 经 具有 流量 和 差错 控制 
机 制 , 因 此 很 容易 使 用 UDP 进行 传输 。 

(3) UDP 适 于 多 播 与 Peer to Peer 对 等 协议 的 应 用 。 如 多 方 视 频 电 话 会 议 、 视 频 点 播 、 
QQ 等 。 

图 5. 5 是 用 Wireshark 捕获 的 QQ 聊天 的 UDP 包 , 参 看 图 1. 15 ,各 层 协 议 数据 的 封装 
关系 是 eth: ip: udp: OICQ。 图 中 可 直接 读 出 以 太 帧 MAC 地 址 、IP 地 址 和 UDP 端口 号 等 
信息 ,请 对 照 图 5. 2 分析 UDP 包 结 构 。 注 意 ,QQ 是 企业 自行 开发 的 非 标准 协议 , 它 使 用 的 
端口 号 为 4000 和 8000。 建 议 分 析 OICQ 协议 包 的 结构 ,并 且 判 断 OICQ 协议 应 当 位 于 
图 1. 15 的 什么 位 置 。 


lo Jimt Source | Destination Protoco! Info 
0 5 


了 007.56.176 172.16.52.28 UDP Source port: romi Destination port: terabase 
15 0 172.16.52.28 222.202.96.176 OICC OICQ Protocol 
四 Frame 16 (209 bytes on wire, 209 bytes captured) 
国 EChernet I1, Src: HuaweiTe_6c:f5:d7 (00:e0:fc:6c:f5:d7), Dst: Dell_9e:69:77 (00:14: 
INternet Protocol, Src: 222.202.96.176 (222.202.96.176), Dst: 172.16.52.28 (172.16. 
B User Datagram Prorocol, Src Port: irdmi (8000), Dst Port: terabase (4000) 
Source port: irdmi (8000) 
Destination port: terabase (4000) 
Length: 175 
困 Checksum: 0x4184 [validation disabled] 
OICQ - IM software, popular in china 


图 5.5 用 UDP 包 传输 的 QQ 聊天 数据 样本 


(4) UDP 被 应 用 于 管理 进程 ,如 SNMP 简单 网 络 管理 协议 等 。UDP 被 用 于 路 由 更 新 
协议 ,例如 ,路 由 信息 协议 (Routing Information Protocol,RIP) 等 。 

(6) 很 多 木马 程序 潜入 受害 主机 后 ,利用 UDP 协议 向 外 网 黑客 通告 自己 的 位 置 ,发 送 
窃取 的 文件 。 

(7) 利用 UDP 可 对 目标 主机 实施 泛 洪 攻击 ,使 其 阻塞 次 痪 ,并 能 躲避 寻 源 跟踪 。 详 见 
后 续 介 绍 。 


5.3 ”传输 控制 协议 


传输 控制 协议 (Transmission Control Protocol, TCP) 执行 进程 对 进程 的 通信 ,因此 
它 与 UDP 一 样 使 用 端口 号 对 进程 进行 寻 址 。 但 与 UDP 不 同 的 是 ,TCP 是 面向 连接 
的 ,在 传输 数据 前 , 它 必须 要 在 两 个 主机 的 TCP 实体 之 间 建 立 连接 ,并 且 TCP 在 传输 
层 使 用 流量 控制 和 差错 控制 。TCP 是 在 IP 提供 的 服务 基础 上 的 面向 连接 的 ,可 靠 的 
传输 层 协 议 。 
5.3.1 TCP 提供 的 服务 

1. 进程 对 进程 的 通信 

表 5.2 为 TCP 的 常用 的 一 些 公认 端口 号 ,详细 的 介绍 参看 附录 A。 有 些 应 用 程序 可 用 


UDP 也 可 用 TCP 传输 ,那么 它们 的 端口 号 相同 。 
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表 5.2 TCP 常用 的 部 分 公认 端口 号 


端口 号 协 议 说 明 
4 Echo 当 收 到 一 个 数据 报 后 ,给 发 送 方 的 响应 
9 Discard 抛弃 任何 收 到 的 数据 报 
3 Users 在 线 的 活动 用 户 
13 Daytime 返回 日 期 和 时 间 
TF Quote 返回 当天 是 星期 几 
19 Chargen 返回 一 串 字 符 
20 FTP,Data 文件 传输 协议 的 数据 连接 端口 
21 FTP,Control 文件 传输 协议 的 控制 连接 端口 
23 TELNET 远程 登录 
25 SMTP 简单 邮件 传输 协议 
53 DNS 域名 服务 器 
67 BOOTP 引导 程序 信息 协议 
79 Finger 查找 互联 网 用 户 的 协议 
80 HTTP 超 文本 传输 协议 
111 RPC 远程 过 程 调用 


2. 字 节 流 的 传输 服务 

在 UDP 中 , 当 一 个 进程 (应 用 程序 ) 将 报 文 消息 交 给 UDP 传输 时 ,该 报 文具 有 事先 确 
定 的 边界 。UDP 对 每 个 报 文 加 上 自己 的 头 部 ,再 交 给 IP 层 进行 处 理 ,IP 层 加 上 IP 头 部 后 
成 为 一 个 IP 数据 报 。IP 和 UDP 都 不 需 识 别 它 们 传输 的 各 个 数据 报 之 间 的 关系 。 

TCP 是 一 个 面向 字 节 流 的 协议 ,允许 发 送 进程 和 接收 进程 之 间 传 输 字 节 流 的 数据 。 
TCP 建立 一 个 传输 平台 ,可 让 发 送 和 接收 的 两 个 进程 的 字 节 流传 输 ,就 像 是 通过 互联 网 的 
一 根 管道 连接 起 来 。 发 送 进程 产生 字 节 流 , 通 过 此 管道 传输 后 ,接收 端 获取 字 节 流 。 

3. 发 送 端 与 接收 端的 缓存 器 

因为 发 送 和 接收 端 有 可 能 同时 用 不 同 的 速度 发 送 和 读 取 数 据 , 例 如 ,一 端 主机 位 于 千 兆 
以 太 网 内 ,而 另 一 端 主机 位 于 PPP 拨号 网 络 , 因 此 TCP 需要 发 送 端 和 接收 端 有 缓存 器 来 进 
行 协调 。 实 现 缓存 器 的 方法 可 以 用 1 字 节 长 的 缓存 器 逐个 相连 形成 一 个 周而复始 的 循环 数 
组 ,如 图 5.6 所 示 。 为 了 简化 讨论 ,图 中 的 圆 形 缓存 器 由 20 字 节 构成 。 而 实际 中 的 缓存 器 
由 上 千 字 节 的 存储 单元 构成 ,这 取决 于 应 用 的 需要 。 并 且 发 送 端 和 接收 端的 缓存 器 不 一 定 
是 同样 大 小 。 

图 5.6 所 示 为 数据 向 一 个 方向 传输 时 的 顺序 。 在 发 送 端 缓 存 器 有 3 种 类 型 的 存储 单 
元 ,白色 部 分 是 空 存储 单元 ,可 供 发 送 进程 填 人 待 传 数据 字 节 。 深 灰色 部 分 存储 的 是 已 经 发 
送 了 ,但 是 还 未 收 到 接收 方 确认 的 数据 字 节 ,这些 数据 要 保留 至 收 到 确认 为 止 。 浅 灰色 部 分 
的 存储 单元 存储 的 是 将 要 被 TCP 传输 的 数据 字 节 ,但 是 TCP 可 能 只 发 送 其 中 的 部 分 ,其 原 
因 可 能 是 接收 端的 接收 速度 太 慢 ,或 是 因为 与 网 络 协商 的 结果 。 当 深 灰色 部 分 的 数据 收 到 
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图 5.6 发 送 和 接收 端的 缓存 器 


确认 后 ,此 存储 单元 就 被 清空 和 回收 ,等 待 发 送 进程 填 人 新 的 数据 字 节 。 因 此 缓存 器 就 被 周 
而 复 始 地 循环 使 用 。 

接收 端的 缓存 器 被 分 为 两 个 区 域 ,图 中 的 白色 部 分 是 空 的 存储 单元 ,等 待 填 人 从 网 络 上 
接收 到 的 数据 字 节 。 浅 灰色 部 分 存储 的 是 收 到 的 字 节 ,等 待 上 层 接 收 进程 读 取 。 当 一 个 字 
节 被 接收 进程 读 取 后 ,此 存储 单元 就 被 清空 回收 ,加 入 到 等 待 接收 的 空 存储 单元 中 去 。 

4. 数据 流 分 段 传输 

虽然 缓存 器 可 以 解决 发 送 和 接收 进程 的 速度 不 一 致 的 问题 ,但 是 对 用 户 数据 可 能 还 需 
要 分 段 处 理 。TCP 层 的 工作 建立 在 IP 层 提供 的 服务 基础 上 ,但 是 IP 层 是 以 相互 独立 的 数 
据 分 组 ( 包 ) 的 形式 发 送 数据 ,而 不 是 以 字 节 流 的 方式 发 送 。 在 传输 层 ,TCP 将 应 用 层 数 据 
进行 分 段 , 称 为 数据 段 。 为 了 实现 控制 ,发 送 端的 TCP 给 每 个 数据 段 加 入 一 个 头 部 ,再 送 给 
IP 层 进行 处 理 ,然后 被 封装 为 IP 包 进 行 传输 ,参看 图 1. 19。 整 个 的 过 程 对 于 接收 进程 是 透 
明 的 。 这 些 数 据 段 被 传输 后 可 能 次 序 乱 了 ,可 能 被 丢失 ,或 者 数据 出 错 需 要 重新 发 送 。 
图 5.7 为 TCP 数 据 段 的 发 送 和 接收 过 程 中 缓存 器 的 作用 示意 图 。 


图 5.7 TCP 数据 段 的 发 送 和 接收 


注意 ,TCP 的 载荷 数据 段 的 长 度 不 需要 一 致 ,例如 在 图 5. 7 中 ,数据 段 1 携带 3 字 节 的 
载荷 ,数据 段 N 携带 5 字 节 的 载荷 。 实 际 网 络 中 每 个 数据 段 可 携带 的 载荷 有 几 百 至 几 千 
字 节 。 
5. 全 双 工 通信 
TCP 可 提供 全 双 工 通信 服务 .数据 可 以 同时 双向 发 送 。 因 此 每 个 TCP 实体 都 有 发 送 
和 接收 缓存 器 ,将 数据 段 封 装 和 人 载荷 中 同时 双向 传输 。 
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6. 可 靠 的 和 面向 连接 的 传输 服务 

TCP 是 面向 连接 的 协议 。 当 主机 A 的 进程 要 发 送 和 接收 来 自 另 一 个 主机 B 的 进程 的 
数据 ,要 先 在 两 个 主机 之 间 建 立 TCP 连接 ,然后 双向 传输 数据 ,通信 结束 后 终止 连接 。 注 
意 ,TCP 建立 的 是 虚拟 连接 ,而 不 是 直接 的 连接 。TCP 数据 段 被 封装 在 IP 包 中 ,可 以 不 按 
照 次 序 传输 ,也 可 按照 不 同 的 网 络 传输 路 径 到 达 目 的 端 。 当 载荷 数据 被 正确 接收 后 ,必须 向 
源 端 发 回 确认 信息 ,如 果 被 丢失 或 出 错 ,可 以 进行 重 传 。 


5.3.2 TCP 的 特性 


1. 对 字 节 进行 编号 

虽然 TCP 对 发 送 和 接收 的 数据 段 进行 跟踪 ,但 是 在 TCP 的 头 部 中 却 不 对 数据 段 编号 ， 
而 是 使 用 序列 号 (Sequence Number) 与 确认 号 (AcknowLedgement Number), 这 两 个 号 码 
是 载荷 字 节 的 序号 ,而 不 是 数据 段 的 号 码 。 

2. 字 节 的 号 码 

TCP 对 所 有 已 建立 了 连接 并 进行 传输 的 数据 字 节 进行 编号 ,两 个 方向 传输 的 字 节 编号 
不 同 。 当 TCP 从 上 层 的 一 个 进程 接收 到 要 传输 的 应 用 数据 后 ,将 它们 存储 在 发 送 缓存 器 中 
进行 编号 。 第 一 个 字 节 的 编号 不 是 从 0 开始 ,而 是 在 0 一 ?一 1 之 间 选 择 的 一 个 随机 数 , 后 
面 的 字 节 编号 由 此 数 开始 排序 。 例 如 ,如 果 选 择 的 随机 数 是 1057 ,全 部 要 传输 的 载荷 数据 
有 6000B, 那 么 字 节 的 编号 是 从 1057 一 7056 。 字 节 编 号 被 用 于 流量 控制 和 差错 控制 。 

3. 数据 段 的 序列 号 

当 字 节 被 编号 后 ,TCP 给 发 送 的 每 个 数据 段 一 个 编号 ,就 是 该 数据 段 中 的 第 1 个 字 节 
的 编号 。 

例如 , 若 一 个 TCP 的 连接 要 传输 的 文件 有 5000 字 节 。 随 机 选择 第 1 个 字 节 的 号 码 是 
10001( 十 进 制 数 ) ,如 果 此 文件 分 为 5 个 数据 段 传输 ,每 段 长 1000 字 节 ,那么 每 个 数据 段 的 
序列 号 如 下 : 

数据 段 1 的 序列 号 : 10001( 段 内 字 节 号 码 从 10001 至 11000) 

数据 段 2 的 序列 号 : 11001( 段 内 字 节 号 码 从 11001 至 12000) 

数据 段 3 的 序列 号 : 12001( 段 内 字 节 号 码 从 12001 至 13000) 

数据 段 4 的 序列 号 : 13001( 段 内 字 节 号 码 从 13001 至 14000) 

数据 段 5 的 序列 号 : 14001( 段 内 字 节 号 码 从 14001 至 15000) 

当 一 个 数据 段 包含 有 用 户 数据 和 控制 信息 时 ,使 用 一 个 序列 号 。 如 果 一 个 数据 段 没有 
携带 用 户 的 载荷 数据 ,逻辑 上 它 并 不 定义 序列 号 ,此 时 , 头 部 字段 中 的 序列 号 是 无 效 的 。 然 
而 有 些 数 据 段 只 携带 控制 信息 ,也 需要 有 一 个 序列 号 以 便 让 接收 端 发 回 确认 信息 ,这 些 数 据 
段 用 于 建立 连接 ,终止 连接 和 中 断 连接 。 这 些 数据 段 都 有 一 个 序列 号 ,就 像 它 携带 1 字 节 的 
用 户 数 据 一 样 ,而 事实 上 它 并 没有 携带 用 户 载荷 数据 。 如 果 随 机 地 产生 一 个 序列 号 x, 那 么 
第 一 个 字 节 的 序号 是 x 十 1。 这 xz 号 字 节 被 认为 是 假 字 节 , 是 用 于 建立 TCP 连接 的 三 次 握 
手 的 控制 数据 段 。 

4. 确认 号 (ACK) 

TCP 的 通信 是 全 双 工 的 , 当 建 立 了 连接 后 ,双方 都 可 以 同时 接收 和 发 送信 息 。 双 方 发 
送 的 字 节 流 的 起 始 号 码 (随机 数 ) 不 同 ,每 个 方向 发 送 的 数据 段 的 序列 号 就 是 所 传输 数据 的 
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第 一 个 字 节 的 编号 。 然 而 每 一 方向 另 一 方 发 送 的 确认 号 ,是 告诉 对 方 自己 希望 收 到 的 下 一 
个 字 节 的 号 码 。 另 外 ,确认 号 是 累加 的 , 即 接收 信息 的 一 方 取出 自己 刚 收 到 的 数据 段 中 的 最 
后 一 个 字 节 的 号 码 ,加 上 1, 就 等 于 确认 号 ,将 此 ACK 号 码 传 给 发 送信 息 的 另 一 方 。 例 如 ， 
如 果 发 送 方 收 到 了 一 个 确认 号 为 5643 的 TCP 包 , 就 说 明 对 方 已 经 收 到 了 从 起 始 字 节 号 数 
到 5642 号 的 所 有 字 节 。 注 意 ,起 始 字 节 号 不 一 定 是 0。 

5. 流量 控制 

TCP 提供 流量 控制 。 由 数据 的 接收 方 来 控制 发 送 方 所 发 送 的 数据 量 , 这 样 就 可 以 防止 
接收 方 的 接收 缓存 中 数据 的 溢出 。 因 此 TCP 提供 的 是 面向 字 节 的 流量 控制 。 

6. 差错 控制 

TCP 提供 差错 控制 。 虽然 差错 控制 是 以 数据 段 为 基本 单位 进行 的 , 即 整个 数据 段 作 为 
一 个 整体 的 丢失 或 出 错 ,但 是 TCP 提供 的 差错 控制 是 面向 字 节 的 。 

7. 拥塞 控制 

TCP 的 传输 考虑 了 网 络 的 拥塞 情况 。 发 送 方 发 送 的 数据 量 不仅 由 接收 方 控制 (流量 控 
制 功能 ) ,还 取决 于 网 络 的 拥塞 状况 。 


5.3.3 TCP 数据 段 


TCP 传输 的 数据 包 称 为 数据 段 。TCP 数据 段 的 格式 如 图 5. 8 所 示 。 数 据 段 由 20 一 
60 字 节 的 头 部 加 上 应 用 层 的 数据 构成 。 如 果 没 有 可 选项 , 则 头 部 长 20B, 如 果 包 含有 可 选 
项 , 则 头 部 长 60 字 节 。 各 字段 的 含义 如 下 : 
比特 1 1 1 1 1 1 
控制 字段 | URG | ACK | PSH | RST | SYN | FIN 
比特 0 34*910 1516 ea) 
源 端 口 地 址 | ”目的 端口 地 址 可 
数据 段 序列 号 7 
\、 确认 序号 
头 长 度 E 攻 于 窗口 大 小 
校 验 和 | 紧急 指针 
选项 (长 度 可 变 ) | 填充 -| 


SS 区 本 
SS 


20B 


IP 头 部 [TCP 头 部 数据 


图 5.8 IP 包 中 封装 的 传输 控制 协议 数据 段 结构 


。 源 端 口 地 址 : 16 位 ,是 发 送 方 的 应 用 进程 的 端口 号 。 

。 目的 端口 地 址 : 16 位 ,定义 了 接收 方 的 应 用 进程 的 端口 号 。 

。 数据 段 的 序列 号 : 32 位 ,等 于 封装 在 该 数据 段 中 的 应 用 层 数据 第 1 个 字 节 的 编号 。 
告诉 目的 端 在 此 数据 段 中 载荷 的 第 1 个 字 节 号 码 。 在 建立 连接 时 ,通信 双方 各 自 使 
用 不 同 的 一 个 随机 数 来 产生 初始 序列 号 (Initial Sequence Number,ISN) 。 

。 确认 号 : 32 位 ,接收 方 用 确认 号 告诉 发 送 方 ,希望 接收 的 下 一 个 数据 段 的 序列 号 ,也 
就 是 下 一 个 数据 段 的 第 1 个 字 节 的 编号 ,等 于 接收 方 已 经 正确 地 收 到 的 上 一 个 数据 
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段 的 最 后 一 个 字 节 号 再 加 1 。 

。 头 部 长 度 : 4 位 ,以 4B 为 一 个 单位 。 如 果 TCP 的 头 部 长 20B, 那 么 头 部 长 度 的 数值 
等 于 5(5X4 二 20) ,如 果 头 部 长 度 为 60B, 那 么 头 部 长 度 的 数据 等 于 15。 

。 保留 字段 : 6 位 ,保留 将 来 使 用 。 

。 控制 字段 : 6 位 ,每 比特 各 标识 一 个 不 同 的 控制 信息 ,可 同时 将 1 个 或 多 个 控制 比特 
置 1。 它 们 对 网 络 安全 数据 分 析 十 分 有 用 ,参看 第 5. 5 节 。 

。 URG: 紧急 数据 标志 。 如 果 它 为 1, 表 示 本 数据 段 中 包含 紧急 数据 。 此 时 紧急 指针 
中 的 数据 有 效 。 

。 ACK: 确认 标志 位 。 如 果 为 1, 表 示 包 中 的 确认 号 是 有 效 的。 否则 , 包 中 的 确认 号 
无 效 。 

。 PSH: 如 果 置 1, 接 收 端 应 尽快 把 数据 传送 给 应 用 层 。 

。 RST: 用 来 复位 一 个 连接 。RST 比特 置 1 的 数据 包 称 为 复位 包 。 一 般 情 况 下 ,如 果 
TCP 收 到 的 一 个 分 段 明显 不 是 属于 该 主机 上 的 任何 一 个 连接 , 则 向 远 端 发 送 一 个 
复位 包 。 

。 SYN: 该 比特 用 来 建立 连接 ,让 连接 双方 同步 序列 号 。 如 果 SYN=1 而 ACK 王 0， 
则 表示 该 数据 包 为 连接 请 求 ,如 果 SYN=1 而 ACK==1 则 表示 接受 连接 。 

。 FIN: 表示 发 送 端 已 经 没有 数据 要 求 传输 了 ,希望 终止 连接 。 

控制 字段 中 的 这 6 比特 的 设置 ,可 以 实现 流量 控制 .连接 的 建立 与 终止 .连接 中 断 , 以 及 

TCP 传输 数据 的 模式 。 关 于 它们 的 应 用 和 安全 漏洞 方面 的 问题 ,在 后 续 网 络 安全 的 章节 中 
还 要 详细 介绍 。 

。 窗口 大 小 : 此 字段 定义 了 通信 的 对 方 必须 设置 的 窗口 大 小 ,单位 是 字 节 。 本 字段 长 
16 位 ,可 表达 的 最 大 值 为 65 535 字 节 。 此 窗口 的 数值 通常 指 “ 接 收 窗口 大 小 ”, 由 接 
收 端 指定 ,发送 端 必须 遵循 。 

。 校 验 和 : 16 位 , 校 验 和 的 计算 方法 见 图 5. 4 和 附录 B。 在 UDP 中 的 校 验 和 是 可 选 
项 ,但 在 TCP 中 必须 有 校 验 和 。TCP 的 校 验 和 计算 也 包括 伪 头 部 ,其 中 协议 字段 的 
值 是 6, 而 UDP 的 协议 字段 值 是 17。 

。 紧急 指针 : 16 位 ,其 数值 只 有 当 控 制 字 段 中 的 URG 为 1 时 才 有 效 。 当 TCP 数据 段 
中 包含 了 紧急 数据 时 ,紧急 指针 的 数值 必须 被 加 到 序列 号 上 ,就 可 以 得 到 封装 的 用 
户 数 据 中 最 后 一 个 紧急 字 节 的 编号 。 即 传输 的 紧急 数据 的 字 节 号 码 范 围 是 : 从 段 
的 序列 号 开始 ,至 段 的 序列 号 十 紧急 指针 值 为 止 。 

。 选项 和 填充 : 在 TCP 头 部 中 最 多 可 以 包含 40B 的 可 选项 信息 ,在 尾部 填充 0 来 满足 
长 度 为 32 位 的 整数 倍 的 要 求 。 


5.3.4 建立 TCP 连接 的 过 程 


在 应 用 层 报 文 传输 之 前 ,TCP 先 在 源 进程 和 目的 进程 之 间 建 立 一 个 虚拟 的 连接 通道 ， 
然后 将 同一 个 报 文 消 息 的 所 有 数据 段 沿 着 此 同一 个 虚拟 通道 传输 ,这 有 利于 对 进程 的 确认 ， 
以 及 对 损坏 和 丢失 的 数据 段 进行 重 传 。 数 据 报 文 传输 结束 后 需 终止 连接 。 

1. 通过 三 次 握手 建立 TCP 连接 

TCP 建立 连接 的 过 程 称 为 三 次 握手 (Three-way Handshaking)。 下 面 分 析 客 户 机 的 应 
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用 程序 与 服务 器 的 应 用 程序 利用 TCP 协议 建立 连接 的 过 程 。 

此 过 程 开 始 于 服务 器 ,服务 器 告诉 TCP 已 经 设置 了 一 个 被 动 开放 端口 ,时 刻 可 以 接收 
来 自 外 部 的 建立 连接 的 请 求 。 客 户 机 启用 一 个 主动 开放 端口 向 服务 器 的 TCP 发 出 请 求 , 告 
诉 它 需要 连接 到 一 个 特定 的 服务 端口 上 。 三 次 握手 的 过 程 如 图 5. 9 所 示 , 纵 坐标 是 时 间 。 
传输 的 每 个 数据 段 的 头 部 都 设置 了 相应 的 值 , 图 中 只 画 出 了 此 过 程 中 有 关 的 字段 : 序列 号 、 
确认 号 .控制 字段 中 被 置 1 的 flag 标记 ,以 及 窗口 大 小 。 


Yr 序列 号 (Seq) ”A: ACK 比 特 置 1 nn 
< 确认 号 (ACK) ”S:SYN 比特 置 1 NJ 


临时 


主动 端口 Seq:8000 被 动 | 公认 
打 玫 ACK: ee 内 
| Tololofols[of “| 
控制 字段 6 位 SYN 请 求 建立 连接 
Seq:15000 
2 ACK:8001 | 
一 A[ TIs 
SYN+ACK 同 意 建立 连接 
| 全 Seq:8000 
ACK:15001 | 
A jE 
了 时间 eR so 


图 5.9 建立 TCP 连接 的 三 次 握手 过 程 


(1) 客户 机 发 送 第 1 分 段 ,请 求 建立 TCP 连接 。 控 制 字 段 中 只 有 SYN 比特 为 1 ,其余 
为 0, 因 此 称 为 SYN 分 段 。 它 的 目的 是 为 了 同步 双方 的 段 的 序列 号 。 它 占用 一 个 序列 号 
(假设 初始 序列 号 为 随机 数 8000) 。 传 输 数 据 开 始 后 的 第 一 段 的 序列 号 应 加 1( 注 意 下 面 第 
3 分 段 未 传 数据 ,因此 序列 号 仍 为 8000)。SYN 段 并 没有 传 数据 ,但 是 可 认为 它 传 输 了 1B 虚 
拟 数据 。 

(2) 服务 器 返回 第 2 分 段 , 其 控制 字段 中 SYN 和 ACK 比特 为 1, 其 余 为 0, 因此 称 为 
SYN 十 ACK 分 段 。 此 段 不 传输 数据 ,但 有 两 个 目的 : 它 是 一 个 返回 的 SYN 同步 段 ,告诉 客 
户 端 自己 的 初始 序列 号 (此 例 为 随机 数 15000) ,并 且 作为 对 客户 SYN 请 求 的 确认 (下 一 个 
要 接收 的 段 序列 号 为 8001); 它 占用 一 个 段 的 序列 号 ,可 认为 携带 了 1B 虚拟 数据 。 

(3) 客户 机 响应 第 3 分 段 , 这 是 对 收 到 第 2 分 段 的 确认 (ACK) ,以 及 确认 下 一 个 要 接收 
的 分 段 的 序列 号 (此 例 为 15001) 。 注 意 此 数据 段 的 序列 号 与 第 1 个 数据 段 相 同 ,原因 是 它 
没有 携带 任何 载荷 数据 ,因而 此 ACK 分 段 不 占用 任何 序列 号 。 

2. 同时 开放 端口 

有 一 种 较 少 出 现 的 情况 是 , 当 双 方 的 进程 都 有 主动 开放 端口 时 ,双方 的 TCP 都 发 送 
SYN 十 ACK 段 给 对 方 ,只 要 一 次 就 可 以 建立 双方 之 间 的 连接 。 这 称 为 同时 开放 端口 。 

3. 正常 的 TCP 连接 请 求 LSYN] 的 案例 

在 图 1.21 和 图 1. 22 所 示 的 客户 机 访问 百度 首页 www. baidu. com. cn 的 案例 中 , 当 客 
户 机 (10. 0. 26.7) 通 过 NDS 查询 到 百度 代理 服务 器 的 IP 地 址 119. 75. 213. 51 后 ,就 与 它 交 
互 第 19 号 包 [LSYN] .第 20 号 包 LSYN 十 ACK] 和 第 21 号 包 [ACKj 三 次 握手 建立 TCP 连 
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接 。 将 图 1. 21 中 第 19 号 包 [SYN] 的 结构 展开 如 图 5. 10 所 示 。 


由 Frame 19 (66 bytes on wire, 66 bytes captured) 
田 Ethernet II, Src: BenignTe_00:33:39 (00:24:12:00:33:39), Dst: Cisco_09:3e:80 
由 Internet Protocol, Src: 10.0.26.7 (10.0.26.7), Dst: 119.75.213.51 a9 75. 2 
= Transmission Control Protocol, src Port: esimport (3564)，Dst 5 hrtp 
Source port: esimport (3564) 
Destination port: http (80) 
[stream index: 1] 


Sequence number: 0 (relative sequence number) 
Header length: 32 byres 
一 Fl1ags: 0x02 CSYN) 


Window Er 65535 
困 Checksum: Oxbaaf [validation disabled] 
田 Options: (12 bytes) 


图 5.10 I 下 浏览 器 向 www. baidu. com. cn 发 送 [SYN] 请 求 建立 TCP 连接 


对 照 图 5.8 和 图 5. 10 所 示 的 TCP 的 数据 段 结构 和 顺序 ,此 TCP 数据 段 中 , 源 端口 
3564、 目 的 端口 80、 序 列 号 0、 头 部 长 度 32B、 标 志 flags SYN、 窗 口 尺 寸 65535、 校 验 和 
0xbaaf ,可 选项 12B。 其 余 可 自行 分 析 。 

4. 利用 SYN 进行 泛 洪 攻 击 

TCP 建立 连接 的 过 程 容易 引起 多 种 严重 的 安全 问题 ,其 中 之 一 称 为 SYN 泛 洪 攻击 
(Flooding Attack)。 如 果 一 个 恶意 攻击 者 操控 了 上 千 万 不 同 源 IP 地 址 的 主机 同时 向 一 
服务 器 发 送 大 量 的 SYN 段 , 按 常规 服务 器 就 为 每 个 客户 机 分 配 必要 的 资源 ,例如 建立 通信 
表 和 设置 定时 器 等 。 服 务 器 然后 给 每 个 客户 机 返回 SYN 十 ACK 段 , 由 于 客户 机 的 IP 地 址 
可 能 是 假 的 ,这 些 段 都 丢弃 了 。 当 客户 的 请 求 数量 足够 大 时 ,客户 请 求 耗 尽 了 服务 器 的 资 
源 ,导致 服务 器 的 瘫痪 ,而 拒绝 对 每 个 正常 的 请 求 提供 服务 。 这 种 攻击 属于 “拒绝 服务 攻击 
DoS?” ,参看 第 11 章 。 

服务 器 对 抗 SYN 泛 洪 攻 击 的 策略 有 几 种 ,例如 : 设置 一 个 接受 连接 请 求 的 用 户 数 量 限 
制 ,在 特定 的 时 间 段 内 不 得 超过 多 少 客户 ;设置 黑 名 单 过 滤 出 不 可 靠 源 IP 地 址 的 连接 请 求 ; 
将 服务 器 资源 分 配给 客户 的 操作 过 程 推 迟到 连接 建立 以 后 再 进行 ;使 用 Cookie 等 。 传 输 层 
协议 SCTP 就 使 用 了 这 种 安全 策略 。 

5. 利用 TCP 协议 对 目标 主机 进行 端口 扫描 与 木马 连接 

利用 建立 TCP 连接 的 三 次 握手 过 程 ,可 以 远程 对 网 络 上 的 目标 主机 进行 开放 端口 的 扫 
描 ,漏洞 扫描 和 木马 连接 等 。 详 见 后 续 的 实测 案例 分 析 。 


5.3.5 TCP 数据 段 的 传输 过 程 


TCP 连接 建立 后 就 可 进行 双向 数据 传输 ,客户 机 和 服务 器 就 可 以 发 送 数据 和 确认 信 
息 。 关 于 确认 的 规则 在 后 面 讨论 ,这 里 仅 认 为 确认 信息 与 数据 在 同一 个 段 内 传输 。 图 5. 11 
的 例子 中 ,假设 连接 已 经 通过 图 5. 9 建立 了 ,客户 机 用 两 个 数据 段 发 送 2000B 的 数据 ,然后 
服务 器 用 一 个 数据 段 发 送 2000B 的 数据 。 客 户 机 再 发 送 一 个 段 。 前 3 个 段 携带 了 数据 和 
确认 信息 ,最 后 一 段 只 携带 确认 信息 。 注 意 序 列 号 和 确认 号 的 值 。 客 户 机 发 送 的 数据 段 中 
的 PSH 控制 字段 置 1, 这 样 服务 器 的 TCP 就 知道 一 旦 收 到 PSH 二 1 的 段 后 ,就 将 封装 的 数 
据 立 即 提交 给 服务 器 进程 。 关 于 PSH 的 用 途 以 后 讨论 ,而 服务 器 发 送 的 段 中 并 不 设置 
PSH 为 1。 大 部 分 TCP 的 实施 中 都 可 选 设置 或 不 设置 此 PSH 为 1。 
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图 5.11 当 连 接 建立 后 进行 TCP 的 数据 传输 过 程 


1.“ 推 "数据 字段 

发 送 端 TCP 使 用 一 个 缓存 器 来 存储 应 用 程序 的 待 发 送 的 数据 流 , 发 送 端 TCP 可 以 选 
择 数 据 段 的 大 小 。 接 收 端 TCP 也 有 一 个 缓存 器 来 存储 收 到 的 数据 ,将 收 到 的 分 段 组 装 无 误 
后 在 合适 的 时 候 提供 给 上 层 的 应 用 程序 。 这 样 的 灵活 性 处 理 可 提高 TCP 的 效率 。 

然而 ,有 时 候 应 用 程序 不 需要 这 样 的 灵活 性 。 例 如 , 当 一 个 应 用 程序 与 男 一 端的 应 用 程 
序 进行 实时 交互 通信 时 ,如 果 一 端的 应 用 程序 要 发 送 一 个 击 键 信息 给 另 一 端的 应 用 程序 ,并 
要 求 立即 收 到 响应 ,此 时 对 数据 的 延迟 传输 和 延迟 提交 都 不 能 被 接受 。TCP 能 够 处 理 此 情 
况 : 发 送 端的 应 用 程序 可 以 设置 “ 推 " 的 操作 Push(Pushing Data) 。 发 送 端 TCP 不 能 等 待 
到 窗口 填 满 才 发 送 , 必 须 生成 一 个 数据 段 并 立即 发 送 , 将 此 数据 段 的 控制 PSH 比特 置 1, 让 
接收 端 TCP 知道 此 数据 段 内 的 数据 应 当 立 即 提交 给 接收 端的 应 用 程序 ,不 能 等 待 更 多 的 数 
据 段 到 达 。 

2. 紧急 数据 的 处 理 

TCP 是 面向 字 节 流 的 协议 , 即 来 自 上 层 应 用 程序 的 数据 以 字 节 流 的 方式 传 给 TCP , 字 
节 流 中 的 每 个 字 节 都 有 确定 的 流 中 位 置 。 然 而 ,有 时 应 用 程序 需要 传输 紧急 字 节 ,希望 接收 
端的 应 用 程序 不 按照 正常 次 序 读 取 这 些 紧 急 字 节 。 例 如 ,假设 发 送 端 应 用 程序 正在 发 送 数 
据 给 接收 端 应 用 程序 进行 处 理 , 当 从 接收 端 返回 的 中 间 处 理 结 果 显 示 都 处 理 错 了 ,发 送 端 打 
算 中 断 对 方 的 处 理 进程 ,但 是 它 已 经 发 送 了 大 量 的 数据 给 接收 端 。 如 果 它 发 送 一 般 的 中 断 
指令 Ctrl 十 C, 那 么 此 命令 将 存储 在 接收 端 TCP 缓存 器 的 末尾 ,直到 所 有 的 前 面 数据 都 处 理 
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完 后 才 会 读 到 此 指令 。 此 时 应 当 进 行 紧 急 数据 处 理 。 

解决 的 方法 是 发 送 一 个 URG 分 段 , 即 其 中 的 控制 字段 URG(Urgent) 被 置 1。 发 送 端 
应 用 程序 用 它 注 明 此 分 段 的 载荷 中 是 紧急 数据 ,于 是 发 送 TCP 将 此 紧急 数据 插入 正常 的 载 
荷 数据 的 开始 处 , 段 的 头 部 的 紧急 指针 定义 了 携带 的 紧急 数据 的 结束 点 和 正常 数据 的 开始 
位 置 。 接 收 端 TCP 收 到 一 个 分 段 后 发 现 其 中 URG 被 置 1, 它 就 读 取 紧急 指针 的 数值 ,那么 
携带 的 紧急 数据 的 字 节 范围 就 是 从 载荷 数据 的 开始 到 紧急 指针 提供 的 位 置 。 接 收 端 就 提前 
取出 紧急 数据 ,将 它们 送 给 接收 应 用 程序 。 


5.3.6 终止 TCP 的 连接 


1. 通过 三 次 握手 终止 连接 

虽然 TCP 连接 的 建立 是 由 客户 端 发 起 ,但 是 通信 的 任何 一 方 (客户 机 或 服务 器 ?都 可 以 
关闭 连接 。 有 两 种 方法 可 以 关闭 连接 : 三 次 握手 关闭 和 四 次 握手 关闭 ,加 上 一 个 半 关 闭 的 
选项 。 图 5. 12 为 使 用 三 次 握手 关闭 TCP 连接 的 过 程 。 分 析 如 下 : 


序列 号 Seq 。” A: ACK 标 记 置 1 
Om 确认 号 ACK 。 F:FIN 标 记 置 1 wa 


主动 | 


关闭 
控制 字段 6 位 ”FIN 被 动 


关闭 
Seq:y = 
ACK:x+1l 


-| 


时 间 1 


A 


1 时 间 
图 5.12 TCP 使 用 三 次 握手 终止 连接 


(1) 正常 情况 ,客户 TCP 从 客户 进程 收 到 了 关闭 的 指令 ,就 发 送 一 个 控制 符 FIN=1 的 
分 段 。 注 意 ,此 时 的 FIN 分 段 载荷 内 可 能 还 含有 客户 进程 要 传输 的 最 后 用 户 数 据 ,也 可 能 
只 是 一 个 控制 分 段 。 此 FIN 分 段 占用 一 个 序列 号 (图 中 为 x)。 

(2) TCP 服务 端 收 到 此 FIN 分 段 后 .告诉 上 面 进程 ,同时 给 客户 返回 FIN 十 ACK 分 
段 ,用 以 确认 它 已 经 收 到 ,同时 声明 自己 关闭 连接 。 此 分 段 中 也 可 以 携带 服务 器 给 用 户 的 最 
后 数据 。 无 论 有 无 携带 数据 ,此 分 段 也 占用 一 个 序列 号 (图 中 为 y)。 

(3) 客户 TCP 向 服务 器 发 回 最 后 一 个 ACK 分 段 ,确认 它 收 到 了 服务 器 的 FIN 十 ACK 
分 段 , 确 认 号 是 y 十 1。 此 分 段 不 占用 序列 号 (图 中 仍 为 +)。 至 此 双方 的 TCP 连接 终止 。 

2. 半 关 闭 状态 

在 TCP 中 ,通信 的 一 方 可 以 停止 发 送 数据 ,但 是 仍然 在 接收 数据 ,这 称 为 半 关 闭 (Half- 
close) 。 虽 然 双 方 都 可 以 半 关 闭 , 但 是 一 般 是 由 客户 机 发 起 。 例 如 ,客户 机 要 求 服务 器 进行 数 
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据 分 类 ,服务 器 要 等 收 到 全 部 数据 后 才能 进行 分 类 处 理 , 当 客户 机 发 完 数据 后 ,就 可 以 关闭 外 
出 的 连接 ,而 仍然 保持 入 内 的 连接 以 接收 分 类 后 的 数据 。 服 务 器 收 到 全 部 数据 后 ,需要 时 间 进 
行 数据 分 类 , 它 的 外 出 方向 的 连接 必须 仍然 开放 。 双 方 直到 全 部 处 理 完 后 才 全 部 关闭 连接 。 


5.3.7 TCP 的 流量 控制 


TCP 使 用 滑动 窗 进行 流量 控制 。TCP 使 用 的 滑动 窗 技术 介 于 “返回 N (Go-back-N)” 
和 “选择 重 传 (Selective Repeat) ”技术 之 间 。 它 与 返回 N 滑动 窗 技术 相同 之 处 是 不 使 用 否 
定 确认 (Negative Acknowledgment, NAK). 它 与 选择 重 传 滑动 窗 相 同 之 处 是 接收 方 的 缓存 
器 保存 所 有 乱 序 的 分 段 , 直 到 收 到 丢失 的 分 段 。 与 它们 不 同 的 地 方 是 : TCP 的 滑动 窗 是 
面向 字 节 的 ; @TCP 的 滑动 窗 的 大 小 是 可 变 的。 图 5. 13 是 TCP 滑动 窗 的 工作 过 程 。 
滑动 窗 


一 | 


| nl|n | n+l » ml| m m+l 


关闭 收缩 减 小 ， ”打开 
图 5.13 TCP 的 滑动 窗 流 量 控 制 原理 


发 送 端的 滑动 窗 是 发 送 缓存 器 中 的 一 部 分 ,其 中 存放 着 来 自 上 层 进程 的 等 待 发 送 的 数 
据 。 窗 内 的 字 节 是 可 以 被 传输 的 ,它们 可 以 被 发 送 而 不 用 考虑 接收 方 的 ACK 确认 。 窗 口 
范围 由 想象 中 的 左 墙 和 右 墙 来 界定 ,其 范围 是 图 中 的 从 左 侧 起 始 字 节 n 到 右 侧 结束 字 节 wm。 
而 n 一 1 以 下 的 字 节 已 经 被 发 送 并 已 收 到 确认 ,m 十 1 以 上 的 字 节 还 未 获得 等 候 发 送 的 资格 。 

滑动 窗 可 以 被 打开 、 关 闭 或 缩小 , 它 受 接收 端 及 网 络 的 拥塞 状态 控制 。 发 送 端 必须 遵循 
接收 端的 指令 设置 窗口 大 小 。 打 开 窗 口 就 是 将 右 墙 向 右 移 动 ,这 就 允许 发 送 缓存 器 中 存储 
更 多 的 等 待 发 送 的 字 节 。 关 闭 窗口 就 是 将 左 墙 向 右 移动 ,这 意味 着 这 些 字 节 已 被 接收 端 确 
认 了 ,发送 端 不 用 再 关心 它们 了 。 收 缩 窗 口 就 是 将 右 墙 向 左 移动 .这 是 减少 可 以 发 送 的 字 节 
的 数量 ,取消 这 些 曾 经 允许 发 送 的 字 节 的 被 发 送 资格 。 如 果 发 送 端 已 经 将 这 些 字 节 发 送 了 ， 
但 是 又 被 收缩 窗口 取消 资格 ,这 就 会 出 现 问题 。 注 意 , 左 墙 是 不 能 向 左 移动 的 ,因为 左 墙 的 
左边 的 字 节 已 经 被 接收 端 确认 收 到 了 。 

滑动 窗 用 于 提高 传输 的 效率 ,以 及 控制 发 送 的 数据 流 ,防止 接收 端的 缓存 器 接收 到 过 量 
数据 而 溢出 。TCP 的 滑动 窗 是 面向 字 节 的 , 它 可 从 捕获 网 络 数 据 流 中 看 到 ,实测 方法 见 
Wireshark 的 使 用 介绍 。 

在 通信 一 端的 窗口 大 小 取决 于 两 个 值 中 的 最 小 值 : 接收 端 窗口 (Receiver Window， 
rwnd) ,拥塞 窗口 (Congestion Window,cwnd)。 接 收 端 窗口 是 接收 方 返回 给 发 送 方 的 数据 
段 中 确认 字段 的 值 , 它 是 在 接收 方 的 缓存 器 不 溢出 和 数据 不 丢失 的 情况 下 ,能够 接收 的 字 节 
数量 。 拥 塞 窗口 是 由 网 络 避 免 拥 塞 而 决定 的 一 个 值 ,后面 将 对 此 详细 讨论 。 

例 5-1 主机 A 向 主机 B 发 送 数 据 ,如 果 接 收 主机 B 的 缓存 器 长 5000B, 其 中 存 了 已 收 
到 但 还 未 处 理 的 1000B 数据 ,那么 主机 A 的 发 送 窗口 应 当 有 多 大 ? 

答 : 接收 窗口 rwnd 二 5000 一 1000 二 4000。 主 机 B 的 缓存 器 中 还 有 4000B 的 空间 ,在 下 
一 个 数据 段 中 将 此 值 告诉 主机 A。 

例 5-2 如 果 主 机 A 的 rwnd 二 3000B.cwnd 二 3500B, 那 么 主机 A 的 窗口 有 多 大 ? 

答 : 主机 A 的 窗口 大 小 是 rwnd 和 cwnd 中 的 最 小 值 ,3000B。 
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例 5-3 图 5.14 所 示 是 一 个 简化 的 例子 。 图 中 ,发送 端 已 经 将 数据 段 发 送 到 了 202 号 
字 节 ,假设 拥塞 窗口 cwnd 王 20B( 实 际 中 为 几 千 字 节 ) ,接收 端 已 经 返回 收 到 200 号 字 节 的 确 
认 号 ,接收 端 窗口 rwnd 王 9B( 实 际 中 为 几 千 字 节 )。 在 此 例 的 rwnd 和 cwnd 中 较 小 值 为 
9B。 字 节 200 号 至 202 号 已 经 发 送 ,但 是 还 未 收 到 确认 ,它们 还 必须 继续 暂 存 以 备 丢失 重 
传 。 因 此 字 节 203 号 至 208 号 可 以 被 发 送 ,不 必 担 心 确认 。 但 是 字 节 209 号 不 能 发 送 ,必须 
等 到 窗口 右 移 打开 。 
窗口 尺寸 =minimum(20，9)=9B 
| 忆 发 送 ， 但 未 确认 |_ 可 以 被 立即 发 送 
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= f Ge 
已 被 发 送 和 确认 要 发 送 的 下 一 个 字 节 203 不 能 发 送 ,等 窗口 打开 
图 5.14 TCP 的 滑动 窗 流量 控制 原理 举例 


5.3.8 ”TCP 的 差错 控制 


TCP 是 一 个 可 靠 的 传输 层 协议 ,发送 端 的 应 用 程序 将 数据 流 交 给 TCP ,依靠 TCP 将 整 
个 的 数据 流传 输 给 接收 方 的 应 用 程序 ,同时 必须 次 序 一 致 .无 差错 、 无 重复 和 丢失 。 这 取决 
于 TCP 的 差错 控制 功能 。 

差错 控制 技术 包括 : 检测 出 错 的 数据 段 、 丢 失 的 数据 段 、 乱 序 的 数据 段 和 重复 的 数据 
段 ,也 包括 检 出 错误 后 的 纠正 。TCP 主要 使 用 3 种 简单 的 工具 : 校 验 和 ,确认 和 超时 处 理 。 

1. 用 校 验 和 (Checksum ) 检 错 

每 个 TCP 数据 段 头 部 都 有 一 个 校 验 和 字段 , 它 用 于 接收 端 检测 收 到 的 该 数据 段 是 否 出 
错 。 如 果 接 收 到 的 数据 段 出 错 了 ,接收 端 就 将 其 丢 齐 。TCP 的 校 验 和 有 16 位 长 。 这 对 于 
新 的 传输 层 协议 SCTP 不 太 合 适 , 但 是 不 能 改动 了 ,因为 这 是 早已 确定 的 TCP 格式 标准 。 
校 验 和 的 计算 方法 见 附录 B。 

2. 接收 端 返回 确认 (Acknowledgment) 

TCP 的 接收 端 向 发 送 端 返回 收 到 数据 段 的 确认 。TCP 的 控制 数据 段 虽 然 不 携带 用 户 
数据 ,但 是 占用 一 个 数据 段 的 序列 号 ,也 要 被 确认 。 而 ACK 数据 段 不 占用 序列 号 ,也 不 需 
要 被 确认 。 

3. 出 现 差错 则 重 传 

差错 控制 的 核心 就 是 出 错 数据 段 的 重 传 , 当 一 个 数据 段 出 错 、 丢 失 或 延迟 超时 , 它 将 被 
重 传 。 目 前 的 重 传 取 决 于 两 种 情况 : 当 重 传 定 时 器 超时 .或 者 发 送 端 收 到 了 3 个 重复 相同 
的 ACK 数据 段 。 
注意 ,对 于 不 占用 序列 号 的 数据 段 ,不 需 重 传 。 例 如 ,对 ACK 数据 段 不 需要 重 传 ,也 不 
需要 发 送 ACK 数据 段 后 为 它 设 重 传 定 时 器 。 

4. 乱 序 的 数据 段 的 处 理 

当 一 个 数据 段 被 延迟 .丢失 或 抛弃 后 ,其 后 接收 到 的 数据 段 就 产生 了 乱 序 。 早 先 设计 的 
TCP 是 将 所 有 乱 序 的 数据 段 丢弃 ,全 部 重 传 。 现 在 的 TCP 不 丢弃 乱 序 的 数据 段 , 而 是 将 它 
们 暂时 储存 起 来 ,并 标识 上 乱 序 的 段 ,直到 收 到 重新 发 送 的 丢失 的 数据 段 填补 完整 。 注 意 ， 

> | 进 S 者 


在 补充 上 丢失 的 段 之 前 , 乱 序 的 数据 段 并 不 提交 给 上 面 进程 。 

5. 正常 的 TCP 数据 段 传输 举例 

图 5. 15 是 客户 机 与 服务 器 之 间 的 正常 的 数据 段 传输 举例 。 图 中 客户 机 发 送 了 一 个 数 
据 段 给 服务 器 ,服务 器 发 送 了 3 个 数据 段 给 客户 机 。 图 中 的 每 个 确认 段 标 识 了 和 希望 收 到 的 
下 一 个 段 的 序列 号 。 当 客户 机 发 送 了 第 一 个 段 给 服务 器 后 , 它 再 没有 数据 要 发 了 ,因此 它 发 
给 服务 器 的 后 两 个 只 是 ACK 段 。 然 而 ,返回 的 ACK: 5001 段 延 迟 了 500ms, 因 为 它 要 等 待 
看 是 否 还 有 来 自 服务 器 方 的 其 他 段 到 达 。 当 定时 器 到 时 了 , 它 就 触发 一 个 确认 过 程 。 当 收 
到 第 二 个 数据 段 后 ,又 启动 确认 定时 器 重新 计时 ,在 未 满 500ms 之 前 就 收 到 了 第 三 个 数据 
段 ,立刻 触发 了 确认 ACK: 7001 段 。 而 对 于 第 二 个 数据 段 就 不 必 确 认 了 。 
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图 5.15 客户 机 与 服务 器 之 间 正 常 的 TCP 数据 段 传输 


6. 传输 的 TCP 数据 段 丢 失重 传 举例 
图 5.16 是 TCP 数据 段 传输 丢失 的 处 理 情况 举例 。 接 收 方 对 丢失 数据 段 和 出 错 数 
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图 5.16 TCP 数据 段 传输 丢失 后 的 处 理 


据 段 的 处 理 是 相同 的 。 数 据 段 的 丢失 是 在 网 络 传输 途中 产生 的 ,例如 由 于 中 途 出 错 或 
网 络 拥塞 被 某 个 路 由 器 抛弃 了 ,而 数据 段 的 出 错 是 在 接收 端 产生 的 ,二 者 都 同样 作为 

图 中 假设 数据 段 是 由 发 送 端 向 接收 端 单 向 传输 。 发 送 端 发 送 了 数据 段 1 和 2, 这 两 个 
段 的 确认 立即 就 收 到 了 (ACK: 701)。 发 送 的 数据 段 3 被 丢失 了 ,接收 端 收 到 的 是 数据 
段 4, 它 是 乱 序 的 ,接收 缓存 器 里 出 现 了 空位 。 接 收 端 立即 再 发 送 一 个 确认 (ACK: 701) 给 
发 送 端 ,由 此 发 送 端 就 知道 序列 号 为 701 的 数据 段 丢 失 了 , 需 重 发 。 接 收 端 将 乱 序 的 801 一 
900B 保存 着 ,直到 收 到 重 传 的 701 一 800B 后 填充 人 空位 , 才 将 完整 的 字 节 流 送 上 应 用 进程 。 

发 送 端 每 发 送 一 个 数据 段 后 就 启动 重 传 超时 定时 器 (Retransmission Time-Out， 
RTO) , 当 限 定时 间 到 了 ,还 未 收 到 接收 端的 确认 ,发 送 端 就 将 数据 段 701 重 发 ,此 时 ACK: 
701 也 到 了 。 此 例 的 情况 是 要 等 到 定时 器 超时 才 进 行 反映 ,下 例 是 不 必 等 定时 器 超时 的 情 
况 处 理 。 

7. 快速 重 传 

在 图 5.17 中 ,如 果 定 时 器 的 设 定 值 较 高 ,就 不 必 等 待 超 时 才 重 传 。 当 接收 端 返 回 了 对 
第 2 段 的 确认 ACK:301 后 ,没有 收 到 第 3 段 ,而 是 收 到 了 第 4、5、6 数据 段 ,就 重复 发 出 确认 
ACK: 301。 发 送 方 收 到 了 4 个 确认 包 都 是 相同 的 值 ACK: 301 ,虽然 对 数据 段 3 的 定时 器 
还 未 超时 ,但 是 由 此 可 判断 丢失 了 序列 号 为 301 的 段 ,于 是 立即 重 传 该 段 。 注 意 , 虽 然 有 
4 个 段 未 确认 ,但 是 只 重 传 了 第 3 段 。 当 发 送 方 收 到 了 ACK: 701 后 ,就 知道 前 面 的 4 段 都 
收 到 了 ,因为 确认 值 是 按 顺 序 累 加 的 。 
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图 5.17 快速 重 传 举例 
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5.4 数据 流 控制 传输 协议 简介 


数据 流 控制 传输 协议 (Stream Control Transmission Protocol, SCTP) 是 传输 层 的 一 个 
新 的 、 面 向 报 文 (Message-oriented) 的 协议 ,是 为 了 适应 互联 网 的 新 业务 而 制定 的 。 这 些 新 
的 应 用 包括 : M2UA 和 M3UA( 电 话 信 令 ),H. 248( 媒 体 网 关 控 制 ),H. 323(IP 电话 ), SIP 
(互联 网 IP 电话 ) 等 。 这 些 新 业务 的 需求 超过 了 UDP 或 TCP 所 能 提供 的 服务 。SCTP 提 
供 了 这 些 新 的 性 能 ,下 面 作 简 单 的 比较 : 

(1) UDP 是 一 个 面向 报 文 的 协议 。 一 个 应 用 进程 将 报 文 交 给 UDP, 将 报 文 封装 在 一 个 
用 户 数据 报 中 通过 网 络 发 送 , 保 持 报 文 的 起 始 和 结束 边界 。UDP 传输 的 每 个 报 文 之 间 是 相 
互 独立 的 ,这 适合 于 IP 电话 和 实时 数据 传输 这 类 应 用 的 需求 。 然 而 ,UDP 是 不 可 靠 的 ,发 
送 端 将 用 户 数据 报 发 送 后 ,就 不 知道 该 报 文 的 命运 了 。 报 文 可 能 被 丢失 ,重复 接收 或 接收 乱 
序 。UDP 没有 拥塞 控制 ,流量 控制 等 性 能 。 

(2) TCP 是 一 个 面向 字 节 的 协议 。 从 应 用 进程 接收 到 一 个 或 多 个 报 文 ,将 它们 存 为 字 
节 流 ,然后 分 段 进行 传输 。 没 有 定义 字 节 流 的 终点 。TCP 是 可 靠 传输 的 协议 ,接收 端 可 检 
测 重复 的 数据 段 ,丢失 的 数据 段 要 重 传 ,将 收 到 的 无 差错 的 字 节 流 按 顺 序 提交 给 终端 应 用 进 
程 。TCP 具有 拥塞 控制 和 流量 控制 功能 。 

(3) SCTP 将 UDP 和 TCP 的 优点 结合 起 来 。SCTP 是 一 个 面向 报 文 的 可 靠 的 协议 。 
保持 报 文 的 起 始 和 结束 边界 ,同时 检测 数据 的 丢失 ,重复 和 乱 序 。 也 有 拥塞 控制 和 流量 控制 
功能 ,以 及 其 他 一 些 新 的 .在 UDP 和 TCP 中 没有 的 功能 。SCTP 向 应 用 层 提供 的 服务 简 述 
如 下 。 

1. 进程 对 进程 的 通信 

SCTP 除了 使 用 与 TCP 相同 的 公认 端口 号 外 ,还 使 用 表 5. 3 所 列 部 分 注册 端口 号 。 

表 5.3 SCTP 常用 的 部 分 注册 端口 号 


端口 号 协 议 说 明 
9990 IUA ISDN over IP 
2904 M2UA SS7 电话 信 令 
2905 M3UA SS7 电话 信 令 
2945 H. 248 媒体 网 关 控 制 
1718,1719,1720,11720 H. 323 IP 电话 
5060 SIP 互联 网 IP 电话 


2. 多 数据 流传 输 服务 
TCP 是 面向 数据 流 的 协议 ,在 TCP 客户 机 和 服务 器 之 间 的 每 个 连接 传输 一 个 数据 流 ， 
这 样 带 来 的 问题 是 当 数 据 流 传输 过 程 中 产生 的 任何 丢失 都 会 阻碍 后 续 数 据 的 传输 。 当 
TCP 应 用 于 传输 文本 时 ,这 种 问题 是 可 接受 的 ,但 是 当 用 TCP 传输 实时 数据 (例如 音频 和 
视频 ) 时 就 不 可 接受 了 。SCTP 协议 在 每 个 连接 上 可 进行 多 数据 流 的 传输 服务 ,在 SCTP 的 
术语 中 称 为 数据 关联 组 (Association) 。 如 果 其 中 一 个 数据 流 受 到 阻碍 ,另外 的 数据 流 可 以 
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照样 提供 数据 传输 。 这 种 概念 类 似 高 速 公路 上 的 行车 道 , 每 个 行车 道 可 用 于 不 同类 型 的 交 
通 流 ,例如 ,其 中 一 个 车 道 用 于 普通 车 流 , 另 一 个 车 道 用 于 公共 汽车 的 车 流 , 如 果 普 通车 流产 
生 了 阻塞 ,公共 汽车 的 车 流 仍然 可 以 到 达 它 们 的 目的 地 。 图 5. 18 是 多 数据 流传 输 的 概念 。 


sr 


IP2 


图 5.18 多 宿主 数据 关联 组 的 通信 概念 


3. 多 宿主 数据 传输 

TCP 的 传输 只 有 一 个 源 IP 地 址 和 一 个 目的 IP 地 址 ,这 意味 着 如 果 发 送 方 和 接收 方 是 
多 宿主 机 (具有 多 个 物理 地 址 和 多 个 IP 地 址 的 主机 ) ,在 连接 的 时 候 每 端 只 能 使 用 一 个 IP 
地 址 。 而 一 个 SCTP 的 数据 关联 组 支持 多 宿主 的 服务 。 发 送 主机 和 接收 主机 能 够 为 一 个 数 
据 关联 组 的 各 端 定义 多 个 IP 地 址 。 这 是 一 种 网 络 容错 的 方案 , 当 一 个 路 径 出 故障 了 ,其 他 
的 接口 能 够 继续 进行 数据 传输 ,不 会 受 影响 。 这 种 容错 的 特性 在 发 送 和 接收 互联 网 电话 会 
议 这 样 的 实时 数据 时 很 有 用 。 

图 5. 18 中 ,客户 机 和 服务 器 各 自 通过 两 个 IP 地 址 连接 到 当地 的 两 个 局 域 网 上 ,客户 机 
和 服务 器 构成 了 一 个 数据 关联 组 ,使 用 了 4 个 不 同 的 IP 地 址 。 然 而 ,当前 的 SCTP 还 只 支 
持 一 对 IP 地 址 之 间 的 通信 ,还 不 能 实现 将 一 个 负载 流 分 配 到 不 同 路 径 上 。 

4. 面向 连接 的 全 双 工 的 通信 服务 

与 TCP 一 样 ,SCTP 也 是 面向 连接 的 协议 ,但 在 SCTP 中 ,连接 被 称 为 数据 关联 组 。 当 
主机 A 中 的 一 个 进程 要 与 主机 B 中 的 进程 传输 和 接收 数据 ,进行 以 下 操作 : 

(1) 先 在 双方 的 SCTP 之 间 建 立 一 个 数据 关联 组 。 

(2) 双向 传输 服务 数据 。 

(3) 通信 结束 后 终止 数据 关联 组 。 

与 TCP 一 样 ,SCTP 提供 全 双 工 的 通信 服务 ,数据 可 以 双向 同时 传输 ,每 端 都 有 接收 和 

5. 可 靠 安全 的 服务 

SCTP 是 一 个 可 靠 的 传输 协议 。 它 使 用 确认 技术 来 检测 数据 ,并 且 证 实数 据 的 到 达 。 
针对 利用 UDP 和 TCP 传输 层 协议 的 漏洞 进行 的 恶意 网 络 行为 ,在 SCTP 中 进行 了 改进 。 

6. 对 Cookie 的 安全 防范 功能 

在 TCP 协议 的 部 分 介绍 了 网 络 安全 中 利用 控制 字段 (SYN) 的 泛 洪 攻击 ,一 个 恶意 攻击 
者 从 大 量 不 同 的 IP 地 址 向 同一 个 服务 器 发 送 巨 量 假 的 请 求 建立 TCP 连接 的 SYN 数据 段 ， 
每 当 服 务 器 收 到 一 个 SYN 段 ,就 建立 一 个 状态 表 ,并 为 它 分 配 存 储 空间 ,等 待 下 个 数据 段 
的 到 来 。 由 于 SYN 请 求 的 数量 巨大 而 耗 尽 服务 器 资源 ,导致 服务 器 的 瘫痪 ,形成 DoS 拒绝 
服务 攻击 。 

SCTP 的 设计 者 采用 了 一 种 策略 来 防止 对 服务 器 的 拒绝 服务 攻击 。 其 方法 是 将 服务 器 
对 客户 提出 请 求 时 的 内 存 资源 分 配 延迟 到 三 次 握手 过 程 的 最 后 一 步 , 即 收 到 第 三 个 ACK 
包 后 才 分 配 , 此 时 发 送 方 的 IP 地 址 才能 证 实 不 是 虚假 的 。 与 图 5.9 不 同 的 是 : 在 收 到 第 一 
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个 请 求 建立 连接 的 包 时 ,要 将 它 保存 起 来 ,直到 收 到 发 送 方 发 来 的 第 三 个 确认 包 为 止 。 但 是 
如 果 服 务 器 保留 了 第 一 个 包 的 信息 ,就 意味 着 要 占用 服务 器 内 存 资源 ,这 是 个 两 难 的 选择 。 
解决 的 方案 是 ,将 收 到 的 第 一 个 包 的 信息 打包 ,并 将 它 发 送 回 客户 机 ,这 称 为 产生 一 个 
Cookie。 将 Cookie 与 第 二 个 包 一 起 发 送 给 收 到 的 第 一 个 包 的 源 地 址 。 然 后 有 两 种 可 能 的 
情况 出 现 : 

(1) 如 果 第 一 个 包 的 发 送 者 是 个 恶意 攻击 者 ,那么 服务 器 就 再 也 不 会 收 到 第 三 个 包 ， 
Cookie 就 丢失 了 ,也 不 会 分 配 存储 器 资源 。 对 服务 器 的 唯一 影响 是 发 送 了 Cookie 的 操作 。 

(2) 如 果 第 一 个 包 的 发 送 方 是 个 正常 的 要 求 建立 连接 的 客户 机 , 当 收 到 第 二 个 包 以 及 
Cookie 后 ,就 将 Cookie 原封 不 动 地 与 第 三 个 包 一 起 发 给 服务 器 。 服 务 器 收 到 第 三 个 包 以 
及 未 受 改变 的 Cookie 后 ,就 知道 这 是 个 正常 的 客户 机 。 于 是 服务 器 就 为 此 客户 的 连接 分 配 

要 使 上 述 策略 有 效 的 条 件 是 ,没有 什么 实体 会 销毁 服务 器 返回 的 Cookie。 要 保证 此 条 
件 , 服 务 器 利用 自己 的 密 钥 ,从 收 到 的 第 一 个 包 的 信息 中 产生 一 个 报 文 摘要 (Digest) 。 用 此 
信息 和 信息 的 报 文摘 要 构成 Cookie, 与 第 二 个 包 一 起 发 送 给 客户 机 。 当 Cookie 与 第 三 个 包 
返回 后 ,服务 器 从 信息 中 计算 报 文 摘要 ,如 果 此 摘要 与 第 一 个 包 的 摘要 相同 ,就 可 判定 此 
Cookie 没有 被 任何 人 修改 ,从 而 判定 了 客户 的 合法 性 ,参见 第 10. 3. 2 节 的 介绍 


5.5 传输 层 的 网 络 攻击 案例 


网 络 扫描 探测 技术 被 用 于 发 现 和 识别 网 络 上 的 可 用 资源 , 找 出 在 线 的 网 络 主机 和 其 开 
放 的 端口 等 。 有 些 木 马 入 侵 一 台 主 机 后 ,会 开放 该 主机 的 某 些 特定 端口 ,因此 可 判断 木马 的 
行踪 。 一 旦 发 现 了 网 络 上 的 有 漏洞 的 主机 ,那么 可 进一步 分 析 这 些 设备 受到 的 安全 威胁 。 
有 时 候 网 络 扫描 活动 是 入 侵 者 做 的 ,有 时 候 是 蠕虫 病毒 的 行为 。 这 部 分 主要 讨论 入 侵 者 进 
行 的 网 络 扫 描 ， Sen gog amp dn 网 络 安全 管理 人 员 也 用 网 络 扫描 技术 进 
行 网 络 的 安全 检测 和 审计 。 这 部 分 的 分 析 案 例 是 一 组 捕获 数据 ,文件 名 是 Scanl. log ,其 中 
tephra Honeynet Research Alliance 提供 的 “每 月 挑战 ?项 
目 中 的 一 部 分 ,可 从 http ://project。 honeynet. org 下 载 。 


5.5.1 利用 TCP 对 目标 主机 的 开放 端口 扫描 


下 面 分 析 的 第 一 个 例子 是 TCP 连接 扫描 , 它 企 图 找 出 在 一 个 目标 主机 上 的 哪些 端口 是 
开放 的 和 处 于 候 听 状 态 的 。 这 是 最 基本 的 端口 扫描 ,因为 TCP 建立 连接 的 三 次 握手 是 通过 
开放 端口 进行 的 ,连接 结束 后 就 立即 关闭 。 一 个 人 侵 者 对 目标 主机 发 送 SYN 包 , 然 后 对 响 
应 包 进 行 分 析 。 如 果 响 应 包 中 的 Reset(RST) 和 ACK 字段 设 为 1, 则 标明 此 端口 是 关闭 的 。 
如 果 响 应 包 中 的 SYN/ACK 被 置 1, 标 明了 此 端口 是 开放 的 ,并 正 处 于 候 听 状态 。 然 后 入侵 
者 发 回 一 个 ACK 包 建 立 连 接 , 再 立即 发 一 个 RST/ACK 包 关 闭 此 连接 。 这 种 网 络 扫描 活 
动 很 容易 被 探测 到 ,因为 在 目标 主机 的 日 志 中 会 记录 下 试图 连接 的 错误 记录 。 

从 图 5. 19 的 捕获 数据 中 可 发 现 此 攻击 者 的 IP 地 址 是 192. 168. 0. 9 , 它 逐 个 发 送 SYN 
包 给 目标 主机 192. 168. 0. 99 ,而 每 个 包 的 源 端口 号 和 目的 端口 号 都 不 同 。 如 果 目 标 主 机 的 
被 扫描 端口 是 关闭 的 ,此 端口 会 返回 响应 一 个 RST/ACK 包 。 而 标 亮 的 155546 号 包 是 返 

。 156 。 


回 的 SYN/ACK 响应 包 ,通过 域名 系统 的 端口 53 交换 信息 ,由 此 可 知 此 端口 是 开放 的 。 并 
可 看 到 ,人 侵 者 每 发 出 一 次 连接 请 求 , 它 的 包 的 源 端口 号 就 增加 1, 如 155545 号 包 的 源 端口 
号 是 35169, 而 155547 号 包 的 源 端 口号 为 35170。 而 目标 端口 号 随机 选择 。 由 此 而 探测 出 
目标 主机 的 开放 端口 。 


Scan log - Ethereal 


File Edt Vew Capture Analyze Help 


[SIElxl®le| Ql>|%| eI 
me owe | 


Destination fo 


mo. Pm | 
155544 1503.346656 192.168.0.99 192.168.0.9 TCP 420 > 35168 [RST, ACK] Seq=0 Ack=28757: 


9 192.168.0.99 TCP 35170 > 993 [SYN] Seq=292876249 Ack=0 
99 192.168.0.9 TCP 993 > 35170 [RST, ACK] Seq=0 Ack=29287d 


155547 1503. 
155548 1503. 


346761 192,168. 
346772 192.168. 


155550 1503.346895 192.168.0. TCP 35171 > 213 [SYN] Seq=286711704 Ack=0 


155551 1503.346910 192,168.0. TcP 213 > 35171 [RsT，ACK] Seq=0 Ack=28671]| 
155552 1503.346953 192.168.0. TCP 35172 > 1441 [SYN] Seq=296030395 Ack=0 
155553 1503. 346961 192,168.0. TCP 1441 > 35172 [RST，ACK] Seq=0 Ack=2960 
155554 1503.347004 192,168.0. TCP 35173 > 1486 [SYN] Seq=300322944 Ack=O 
155555 1503.347012 192,168.0. TCP 1486 > 35173 [RST, ACK] Seq=0 Ack=30032 
155556 1503.347058 192.168.0- TCP 35174 > 32771 [SYN] Seq=289313122 Ack=d 
155557 1503.347066 192.168. TCP 32771 > 35174 [RST, ACK] Seq=0 Ack=289: 
155558 1503.347114 192. TCP 35175 > 2005 [SYN] Seq=291545065 Ack=O 
155559 1503.347122 TCP 2005 > 35175 [RST，ACK] Seq=0 Ack=29154| 
155560 1503.347172 TCP 35176 > 437 [SYN] Sequ300016047 Ack=0 | 
155561 1503.347181 192,.168.0. TCP 437 > 35176 [RST, ACK] Seq=0 Ack=30001 


155562 1503.347227 192.168.0. 
155563 1503.347236 192.168.0. 


TCP 35177 > 1544 [SYN] Seq=288811863 Ack=0 
1544 > 35177 [RST, ACK] Seq=0 Ack=2888J| 


TCP 35178 > 216 [SYN] Seq=288951110 Ack=0 
TCP 216 > 35178 [RST，ACK] seqs0 Ackw28895: 


155565 1503,366314 192,168.0- 
155566 1503.366368 192,168.0. 


Frame 155545 C74 bytes on wire, 74 bytes captured) 
田 Ethernet II, Src: 00:10:a4:c5:7c:38, Dst: 00:60:08:a8:61:24 
192.168， 


加 Inrcernet protoco], 


Src Addr: 


,9 (192,168,0,9), Dst Addr: 192.168,0,99 (192.168,0.99) 


图 5.19 利用 TCP 扫描 目标 主机 的 开放 端口 


图 5. 20 所 示 为 探测 到 的 目标 主机 192. 168. 0. 99 的 开放 端口 ,依次 为 32768、22 .sunrpc 
(111)、http(80) .https(443) domain(53) 等 。 对 于 这 些 公 认 端 口号 , Wireshark 直接 转换 给 
出 该 端口 号 的 名 称 。 关 于 公认 端口 号 与 名 称 的 对 照 请 参看 附录 A。 为 了 将 这 些 收 到 的 端口 
开放 的 响应 包 从 大 量 的 捕获 包 中 过 滤 出 来 .可 以 将 Wireshark 的 过 滤器 窗口 设置 为 
tcp. flags. syn 二 二 1 &&.tcp. flags. ack 二 二 1, 或 设 为 tcp. flags 二 二 18, 这 样 就 可 以 过 滤 
出 TCP 数据 段 中 的 SYN 和 ACK 字段 为 1 的 数据 包 。 过 滤器 对 每 个 端口 都 会 给 出 多 个 响 
应 包 , 就 像 使 用 了 几 种 不 同 的 扫描 方法 一 样 。 将 这 些 标识 出 来 的 包 存 人 文件 ,去 掉 重复 的 


22 > 58169 [SYN, ACK] Seq=1234661897 
Ta Sunrpc > 34203 [sYN, ACK] Seq=128821. 


2 680.120017 192.168.0.99 .168.0. 
3 688.738059 192.168.0.99 192.168. 


4 688.799130 192.168.0.99 192.168. TCP hrrp > 34286 [SYN, ACK] Seq=12932505 
5 688,878123 192.168,0,99 192.168. TCP hrrps > 34349 [SYN, ACK] seq=1283436 
6 691.998282 192.168.0.99 192.168.0. TCP domain > 35169 [SYN, ACK] Seq=129820| 


Frame 工 《58 bytes on wi 
Ethernet II, Src: 00:6 61:24, Dst: 00:10:a4 :38 
Internet protocol, src Addr: 192.168.0.99 (192.168.0.99), Ost Addr: 192.168.0.9 (192.168.0.9) 
日 Transmission Control protocol, Sre Port: 32768 (32768), Dst Port: 52199 (52199), Seq: 476996509, Ack: 18924| 
Source port: 32768 (32768) 
Destination port: 52199 (52199) 
Sequence number : 476996509 
Acknowledgement number: 1892475221 
Header 1engt bytes 
4! a = 
了 Congestion window Reduced (CwR): Not Ser 
E ECN-Echo: Not ser 
Urgent: Not Set 
Acknowledgment: Set 
Push: Nor se 
Reset: Not set 
Syn: Ser 
Fin: NO set 


58 bytes captured) 


图 5.20 过滤 出 来 的 TCP 控制 字段 SYN/ACK 置 1 的 包 
57 s 


包 。 网 络 管理 员 用 此 方法 检查 目标 主机 的 端口 状况 。 

说 明 : 此 例 中 将 Wireshark 的 过 滤器 设 为 tcp. flags 二 二 18, 其 原因 是 TCP 协议 数据 段 
格式 中 的 控制 字段 共 6 位, 见 图 5.8, 分 别 是 URG、ACK、PSH、RST、SYN、FIN。 如 果 其 中 
SYN/ACK 两 位 置 1, 而 其 他 位 是 0, 那 么 控制 字段 就 是 010010, 转 换 为 十 进 制 数 就 是 18。 
这 样 设置 后 就 可 以 将 SYN/ACK 包 过 滤 出 来 。 可 以 用 同样 方法 设置 各 种 包 的 过 滤器 。 各 
种 不 同 进 制 数值 的 转换 见 附录 C。 


5.5.2 利用 TCP 对 目标 主机 的 半 开 放 端 口 扫描 


本 节 分 析 的 第 二 个 扫描 例子 是 TCP 的 SYN 扫描 :也 称 为 半 开 放 端 口 ,因为 此 过 程 中 不 
需 完 成 一 个 完整 的 TCP 连接 。 它 用 于 查 出 目标 主机 上 的 哪些 端口 是 开放 的 ,并 处 于 候 听 状 
态 。 和 人 和 侵 者 发 送 一 个 SYN 包 , 然 后 分 析 其 响应 。 如 果 收 到 的 响应 包 是 RST/ACK 包 , 就 说 
明 此 端口 是 关闭 的 。 如 果 收 到 的 响应 是 SYN/ACK 包 , 就 说 明 此 端口 处 于 开放 和 候 听 状 
态 。 人 侵 者 就 发 送 一 个 RST 站 SYN 扫描 也 被 称 为 隐蔽 扫 
描 , 因 为 很 多 网 络 主机 不 注意 它 , 也 无 日 志 记 录 , 这 种 扫描 从 来 不 会 产生 一 个 完整 的 连接 。 
然而 ,目前 的 很 多 防火 墙 et rn Detection System,IDS) 会 注意 到 这 种 
网 络 活动 。 

在 图 5. 21 中 ,入 侵 者 192. 168. 0. 9 发 送 一 个 SYN 包 给 目标 主机 192. 168. 0. 99 ,由 于 
目标 机 大 部 分 端口 是 关闭 的 ， en a nay 然而 ,图 中 标 亮 了 3 个 
包 , 目 标 主机 对 入 侵 者 的 第 98977 号 请 求 建立 连接 的 SYN 包 的 响应 包 是 LSYN/VACK] 包 
(98978 号 包 ) ,入侵 者 收 到 后 就 对 此 https 端口 返回 一 个 RST 包 (98987 号 包 ) 中 途 停止 此 
建立 连接 的 过 程 。 由 此 ,入 侵 者 探测 到 目标 机 的 https 端口 是 开放 的 。 其 中 可 注意 到 ,人 入侵 
者 使 用 的 静态 源 端 口 对 是 52198 和 52199。 从 附录 A 可 知 ,https 的 端口 号 为 443。 

[scantiog Etheres | 


Fie Edt View Capture Analyze Help 


T55 > 45446 [SVN] Se9-65054439 ACK=O WN-204 
43146 > S2100 [RST, ACK] sen ro Ack=6054435 wi 


S2198 > 18201 【SYN] Seq768054434 Acka0 wins204 
192.168.0.9 TP 16201 > 52198 [RsT，ACK] Seq-0 Ack-68054435 win| 
192.168.0.99 TcP 52198 > 16516 [SYN] seq- 394 人 AcKO Win S20 
192.168.0.9 TcP 16516 > 52198 [RST, ACK] seq=0 Ack=68054435 win| 
192.168.0.99 TcpP S2198 > 1958 [SYN] 5eq-68054434 Ackc0 winc2048 

[3 192.168.0.9 TcP 1958 > 52198 [RST, ACK] Seq-0 Ack68054435 win 
192.168.0.99 TcP 52198 > 30486 [SYN] Seq=68054434 Ack=0 wine204 
192.168.0.9 TCP 30486 > 52198 [RST, ACK] Seq=0 Ack=68054435 win| 
192.168.0.99 TcP 52199 > 43081 [SYN] seq-1892475220 Ack=0 win-2 
192.168.0.9 TCP 43081 > 52199 [RST，ACK] Seq=0 Ack=1892475221 Wf 
192.168.0.99 TCP 52199 > 8592 [SYN] Seq=1692475220 Ack=0 Win=204| 


Frame 56987 C60 Bytes on wire, 60 Bytes captured) 

田 Ethernet II, Src: 00:10:a4:c5:7c:38, Dst: 00:60:08:a8:61:24 

InNnternet Protocol, src Addr: 192.168.0.9 (192.168.0.9), Dst Addr: 192.168.0.99 (192.168.0.99) 
Transmission Control Protocol, Src Port: 52198 (52198), Dst Port: https (443), Seq: 68054435, Ack; 0, Len: 0 


图 5.21 利用 传输 控制 协议 (TCP) 的 SYN 扫描 


5.5.3 利用 TCP 对 目标 主机 的 Xmas 扫描 


Xmas 扫描 通过 向 目标 主机 发 送 TCP 控制 字段 无 效 的 包 来 判断 哪些 端口 是 开放 的 。 
因为 它 能 够 比 SYN 扫描 更 容易 绕 开 某 些 防 火 墙 和 入 侵 检 测 系 统 , 因 此 也 被 认为 是 隐蔽 扫 
描 。Xmas 扫描 向 目标 机 的 选 定 端口 发 送 的 TCP 包 中 将 Finish (FIN)、Push (PSH) 和 

» 158 。 


Urgent(URG) 字 段 置 1, 如 果 目 标 机 的 端口 是 关闭 的 对 此 将 返回 一 个 [RST/ACKjJ 包 ,如 果 
目标 机 的 此 端口 是 开放 的 ,将 会 丢 去 此 包 而 不 作 任 何 响应 。 然 而 ,这 类 扫描 对 运行 
Microsoft Windows、Cisco、.BSDI、.HP/UX、MVS 和 IRIX 的 系统 是 无 效 的 ,这 些 系统 的 关闭 
端口 和 开放 端口 对 此 的 响应 都 是 RST 包 。 

从 图 5. 22 中 可 看 出 ,攻击 者 192. 168.0. 9 发 送 TCP 数据 包 给 目标 主机 192. 168. 0. 99 , 包 
中 的 FIN、PSH 和 URG 字段 被 置 1。 大 部 分 端口 对 此 包 的 响应 是 返回 一 个 RST/ACK 包 ， 
然而 ,图 中 标 亮 的 发 给 目标 主机 的 sunrpc 端口 111 的 那个 包 (161282 号 ), 却 得 不 到 任何 响 
应 。 这 就 说 明 目 标 主机 的 该 sunrpc 端口 111 是 开放 的 ,目标 机 丢弃 了 该 包 。 从 附录 A 中 可 
知 ,Sunrpe 端口 是 远程 过 程 调 用 端口 。 


Info 


> sunrpe [FIN, PSH, URG] Seq=0 A 
35964 > sunrpc [FIN, PSH, URG] seq0 Ad 


35964 > Sunrpc ET PSH，URG] Seq*0 Ad 
161284 1644.943028 192.168.0. 工 192.168.0.99 TCP 35964 > 597 [FIN, PSH, URG] Seq=0 Ack=t 
161285 1644. 943060 192.168. 0.254 192.168.0.99 TCP 35964 > 597 [FIN, PSH, URG] Seq=0 Ack= 


161286 1644. 943091 192.168.0.9 192.168.0.99 TCP 35964 > 597 [FIN, PSH, URG] Seq=0 Ack= 
161287 1644. 943099 192.168.0.99 192.168.0.9 TCP 597 > 35964 [RST，ACK] Seq=0 Ack=1 Win 
161288 1644.943120 192,168.0.199 192.168.0.99 TCP 35964 > 597 [FIN，PSH，URG] Seqs0 Ackw 
161289 1645.252136 192,168.0. 工 192.168.0.99 TCP 35965 > 381 [FIN，PSH，URG] Seqw0 Ackw 
161290 1645.252168 192,168.0.254 192.168.0.99 TCP 35965 > 381 [FIN, PSH, URG] Seq"0 Ack= 
161291 1645.252197 192.168.0.9 192.168.0.99 TCP 35965 > 381 [FIN，PSH，URG] Seq=0 Ack= 
161292 1645.252204 192.168.0.99 192.168.0.9 TCP 381 > 35965 [RST, ACK] Seq=0 Ack=l ,in 
161293 1645,252229 192.168.0.199 192.168.0.99 TCP 35965 > 381 [FIN, PSH, URG] Seq=0 


161294 1645.252267 192.168.0.1 192.168. 0.99 TCP 35965 > 1025 [FIN, PSH, URG] Seq J A 
161295 1645.252295 192,168.0.254 192.168.0.99 TCP 35965 > 1025 [FIN，PSH，URG] Seq=0 Ack 


盏 Frame 161282 C60 bees on wire, 60 bytes captured) 
田 Erhernet II, Sre: ORO da Ycs cs Dst: 00:60:08:a8:61:24 

加 Internet protoco], 写 Addr : 192.168.0.9 (192.168.0.9), Dst Addr: 192.168.0.99 (192.168.0.99) 

田 Transmission Control Protocol, Src Port: 35964 (35964), Dst Port: Sunrpc (111), seq: 0, Ack: 0, Len: 0 


图 5.22 对 目标 主机 的 Xmas 端口 扫描 


还 可 看 到 ,入 侵 者 使 用 了 虚假 的 诱骗 IP 地 址 192. 168. 0. 1，192. 168. 0. 199 和 192. 
168.0.254。 诱 骗 IP 地 址 通常 被 用 来 伪装 入 侵 者 的 真实 IP 地 址 ,使 人 们 很 难 跟踪 到 真正 的 
扫描 者 。 认 真 研 究 这 些 包 后 可 发 现 ,尽管 所 有 这 些 包 的 信 源 IP 地 址 不 同 ,但 是 信 源 的 MAC 
物理 地 址 却 是 相同 的 00:10:a4:ec5:7c:38。 另 外 ,入 侵 者 使 用 了 静态 的 源 端口 对 35964 
和 35965 。 


5.5.4 无 效 包 扫描 


无 效 包 扫描 (Null Scan) 是 通过 向 目标 主机 发 送 控制 字段 被 设 为 无 效 值 的 TCP 包 , 用 
来 发 现 目标 主机 的 开放 端口 。 因 为 它 可 以 绕 开 某 些 防 火 墙 和 入 侵 检 测 系统 (IDS) ,因此 也 
被 看 成 是 隐蔽 扫描 。 无 效 包 扫描 发 送 的 TCP 包 中 所 有 的 6 个 控制 字 位 都 被 置 0, 目 标 主机 
的 关闭 端口 对 此 会 返回 一 个 LRST/ACKj 包 ,而 开放 端口 将 会 丢弃 该 包 而 不 做 出 响应 。 然 
而 ,这 种 扫描 对 运行 Microsoft Windows、Cisco、BSDI、HP/UX、MVS 和 IRIX 等 系统 的 主 
机 是 不 起 作用 的 ,它们 的 关闭 端口 和 开放 端口 对 此 类 无 效 包 的 响应 都 是 RST/ACK 包 。 

在 图 5. 23 中 ,攻击 者 192. 168. 0. 9 发 送 无 效 包 给 目标 主机 192. 168. 0. 99 , 包 中 的 所 有 
控制 字段 都 被 置 0, 就 像 用 空 括号 L ] 标 出 的 那样 。 大 多 数 端口 对 此 返回 一 个 LRST/VACK] 
包 , 而 图 中 标 亮 的 包 是 发 给 目标 主机 的 https 端口 的 ,目标 主机 对 此 没有 任何 响应 ,由 此 可 
判定 目标 主机 的 此 端口 是 开放 的 ,并 丢弃 了 此 包 。 注 意 ,入 侵 者 使 用 了 静态 的 源 端口 对 
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42294 和 42295 。 


35964 > sunrpc [FIN，PSH，URG] Seq=0 Ack= 


161284 1644.943028 192.168.0.1 192.168.0.99 TCP 35964 > 597 [FIN，PSH，URG] Seq=0 Ack=0 Wi 
161285 1644. 943060 192.168. 0- 254 192.168.0.99 TCP 35964 > 597 [FIN, PSH, URG] Seq=0 Ack=0 Wi 
35 1644.943091 192.168.0. 192.168.0.99 TCP 35964 > 597 [FIN, PSH, URG] Seq=0 Ack=0 Wi 
161287 1644.943099 192.168.0.99 192.168.0.9 TCP 597 > 35964 [RST, ACK] Seq=0 Ack=l win= 
161288 1644, 943120 192.168, 0.199 192.168.0,99 TCP 35964 > 597 [FIN, PSH, URG] seq-0 Ack=0 wj 
161289 1645.252136 192.168,0.1 192.168.0.99 TcP 35965 > 381 [FIN, PSH, URG] Seq"0 AckmO Wi 
161290 1645.252168 192.168.0.254 192.168.0.99 TCP 35965 > 381 [FIN, PSH, URG] Seq=0 Ack 
161291 1645.252197 192.168.0.9 从 192.168. 0.99 TCP 35965 > 381 [FIN, PsH, URG] Seq=0 Ack=0 Wi 
161292 1645.252204 192.168.0.99 192.168.0.9 TCP 381 > 35965 [RST, ACK] Seq=0 Ack=1 win=0 
161293 1645.252229 192.168.0.199 192.168.0.99 TcP 35965 > 381 [FIN, PSH, URG] seq=0 Ack=o_w| 
161294 1645.252267 192.168.0.1 192.168.0.99 TCP 35965 > 1025 [FIN, PSH, URG] Seq=0 Ack=O 
161295 1645,252295 192,168,0,254 68,0,99 35965 > 1025 [FIN，PSH，URG] Seq=0 Ack=0 


Frame 161282 (60 bytes on wire，60 bytes captured) 
gEthernet II, Src: 00:10:a4:c5:7c:38, Dst: 00:60:08:38:61:24 

国 Internet Protocol, src Addr: 192.168.0.9 (192.168.0.9), Dst Addr: 192.168.0.99 (192.168.0.99) 

田 Transmission Control Protocol, Src Port: 35964 (35964), Dst Port: sunrpc (111), seq: 0, Ack: 0, Len: 0 


图 5.23 无 效 包 扫 描 Null Scan 


5.6 本 童 小结 


(1) 在 客户 机 /服务 器 构架 中 ,运行 在 本 地 主机 上 的 应 用 程序 称 为 客户 端 , 它 需 要 由 运 
行 在 远 端 主机 上 的 服务 器 应 用 程序 提供 服务 。 每 个 应 用 程序 需要 有 一 个 端口 号 ,用 于 区 分 
在 同一 个 主机 上 同时 和 运行 的 不 同 应 用 程序 。 客 户 端 程序 使 用 随机 的 临时 端口 号 ,服务 器 程 
序 使 用 统一 的 公认 端口 号 。ICANN 定义 了 不 同类 型 的 端口 号 。 

(2) 通信 双方 的 IP 地 址 与 端口 号 的 组 合 称 为 套 接地 址 , 共 五 个 参数 ,唯一 标明 了 互联 
网 的 进程 。 

(3) UDP 包 称 为 用 户 数据 报 ,被 封装 在 一 个 IP 数据 报 中 传输 。UDP 是 一 个 无 连接 的 、 
不 可 靠 的 传输 层 协议 ,没有 流量 控制 和 差错 控制 ,只 使 用 校 验 和 进行 检 错 。 

(4) 传输 控制 协议 提供 进程 对 进程 的 ,全 双 工 的 、 面 向 连接 的 服务 。 通 过 TCP 软件 在 
两 个 主机 间 传 输 的 数据 单元 称 为 数据 段 ,具有 20 一 60B 长 的 头 部 ,后 面 是 应 用 程序 的 数据 。 

(5) TCP 的 连接 包括 三 个 阶段 : 建立 连接 ,数据 传输 .终止 连接 。 连 接 的 建立 需要 三 次 
握手 过 程 ,连接 的 终止 需要 三 次 或 四 次 握手 过 程 。TCP 使 用 滑动 窗 流 量 控制 技术 ,避免 接 
收 端 的 接收 数据 溢出 。TCP 滑动 窗 的 大 小 ,由 接收 端 告 知 的 滑动 窗口 (rwnd) 与 拥塞 窗口 
(cwnd) 二 者 中 较 小 的 一 个 值 决定 。 窗 口 可 以 被 接收 端 打开 或 关闭 ,但 是 不 能 被 收缩 。 

(6) TCP 每 次 连接 传输 的 数据 的 字 节 被 编号 ,编号 的 第 一 个 起 始 值 是 一 个 随机 产生 的 
数 。TCP 使 用 差错 控制 来 提供 可 靠 的 服务 。 差 错 控 制 技术 包括 校 验 和 、 确 认 和 超时 。 出 错 
和 丢失 的 数据 段 被 重 传 ,重复 接收 的 数据 段 被 丢弃 。 接 收 到 的 数据 段 可 能 乱 序 ,TCP 将 正 
常 顺序 的 数据 段 提 交 给 进程 。 在 发 送 端 决定 一 个 数据 段 是 否 要 重 传 ,使 用 两 个 判定 : 重 传 
定时 器 超时 或 收 到 三 个 重复 的 ACK 数据 段 。 

(7) SCTP 是 一 个 面向 报 文 的 ,可 靠 的 协议 ,具有 UDP 和 TCP 的 优点 。 还 提供 新 的 功 
能 ,如 多 数据 流 和 多 宿主 的 传输 服务 。SCTP 是 一 个 面向 连接 的 协议 。 一 个 SCTP 的 连接 
称 为 数据 关联 组 (Association) 。 

(8) 利用 传输 层 协议 可 以 对 网 络 目标 主机 进行 开放 端口 扫描 :实施 安全 审计 和 漏洞 检 

。 有 些 木 马 入 侵 系统 后 ,会 开放 某 些 特定 端口 ,通过 端口 检查 也 可 判断 木马 的 入 侵 行为 。 
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习题 与 实践 


1. 客户 端 要 传送 一 个 68000B 的 数据 包 ,画图 说 明 使 用 一 个 UDP 用 户 数据 报 怎样 传输 
该 包 ? 
2. 下 面 是 一 个 UDP 头 部 字 节 06 32 00 0D 00 1C E2 17, 请 回答 : 


a. 源 端 口号 是 多 少 ? b. 目的 端口 号 是 多 少 ? 
c. 用 户 数 据 报 的 总 长 度 是 多 少 ? d. 数据 的 长 度 是 多 少 ? 


e. 数据 包 是 否 从 客户 端 直接 传送 到 服务 器 端 f{. 客户 端的 进程 是 什么 ? 

3. 一 个 了 P 包 封装 着 TCP 数据 段 ,其 目的 地 址 是 130. 14. 16. 17/16。 由 于 目的 端口 地 
址 故障 ,该 数据 报到 达 130. 14. 16. 19/16 。 收 方 的 TCP 对 该 错误 做 何 反应 ? 

4. 下 面 是 一 个 TCP 头 部 字 节 05320017 00000001 00000000 500207FF 00000000 ,请 
回答 ， 

a. 源 端口 号 是 多 少 ? b. 目的 端口 号 是 多 少 ? 
c. 序列 号 (Sequence number) 是 多 少 ? 

d. 确认 号 (Acknowledge number) 是 多 少 ? 

e. 头 部 的 长 度 是 多 少 ? f. 数据 段 的 类 型 是 什么 ? 
g. 窗口 有 多 大 ? 

5. TCP 以 1MB/s 的 速率 发 送 数据 ,如 果 序 列 号 从 7000 开始 ,在 序列 号 返回 0 之 前 , 需 
要 多 长 时 间 ? 

6. 一 个 TCP 连接 使 用 的 窗口 大 小 是 10000 字 节 ,并 且 前 一 个 确认 号 是 22001, 它 接收 
了 一 个 确认 号 是 24001 的 数据 段 。 画 图 说 明 接收 数据 段 之 前 窗口 情况 和 之 后 窗口 的 情况 。 

7. TCP 的 差错 控制 技术 有 哪些 ,分 别 简 述 之 。 使 用 Wireshark 捕获 网 络 中 TCP 数据 
流 , 并 写 出 实验 报告 。 

8. UDP 和 IP 的 不 可 靠 程度 相同 吗 ? 为 什么 ? 使 用 Wireshark 捕获 与 分 析 网 络 中 的 
UDP 数据 流 。 

9. 图 5.5 是 用 Wireshark 捕获 的 QQ 聊天 的 UDP 包 , 各 层 协议 数据 的 封装 关系 是 
eth: ip: udp: OICQ。 图 中 可 直接 读 出 包 中 的 MAC 地 址 、IP 地 址 和 端口 号 等 信息 。QQ 使 
用 的 端口 号 为 4000 和 8000。 分 析 QQ 协议 包 的 结构 和 工作 原理 ,并 且 判 断 OICQ 协议 应 
当 位 于 图 1. 15 的 什么 位 置 。 写 出 实验 报告 。 


10. 主机 由 来 识别 ,而 运行 在 主机 上 的 服务 器 应 用 进程 由 来 识别 。 
a. IP 地 址 ,端口 号 b. 端口 号 ,IP 地 址 
c. IP 地 址 ,主机 地 址 d. IP 地 址 ,公认 端口 号 


11. 打开 Wireshark 软件 , 写 一 个 显示 过 滤器 分 离 所 有 带 4B 载荷 数据 的 特殊 UDP 数 
据 报 。 
12. 使 用 ICMP 报 文 来 报告 UDP 数据 报 不 可 达 。TCP 为 什么 不 用 ICMP 来 报告 TCP 
数据 报 不 可 达 ? 仅仅 基于 数据 传输 的 开销 比较 TCP 和 UDP 是 否 合理 ? 为 什么 ? 
13. 在 SYN、SYN/ACK 和 ACK 分 组 中 有 应 用 数据 被 发 送 吗 ? 
14. 在 同一 个 客户 端 和 服务 器 之 间 一 个 接 一 个 快速 启动 5 一 10 个 TCP 连接 。 观 察 每 
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个 连接 的 本 地 端口 号 ,以 及 那些 客户 端 和 服务 器 端 分 配给 每 个 连接 的 初始 序号 。 能 找到 一 
个 模式 吗 ? 

15. 如 何 确 定 某 个 应 用 程序 使 用 了 哪个 TCP 或 UDP 端口 ? 

16. 首先 清空 自己 计算 机 浏览 器 中 临时 文件 夹 中 的 全 部 内 容 , 然 后 访问 一 个 网 站 的 最 
简单 的 网 页 ,例如 http://www. baidu. com。 按 照 第 7 章 的 介绍 ,利用 Wireshark 软件 捕获 
自己 计算 机 网 络 端口 的 上 网 数据 ,分 析 其 中 DNS 查询 过 程 中 的 UDP 数据 包 的 结构 ,以 及 
TCP 建立 连接 和 传输 首页 的 过 程 ,按照 本 章 的 介绍 .详细 分 析 其 中 包含 的 丰富 信息 。 写 出 
实验 报告 。 
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第 6 章 应 用 层 协 议 及 其 安全 


本 章 讨论 TCP/IP 网 络 协议 模型 中 应 用 层 的 几 个 常用 协议 及 其 安全 问题 : 域名 系统 
(DNS) 、 超 文本 传输 协议 (HTTP) .文件 传输 协议 (FTP) 和 电子 邮件 协议 (SMTP)。 在 第 1 
章 中 已 对 这 些 协议 作 了 初步 介绍 。 本 章 的 内 容 顺序 按照 利用 浏览 器 访问 一 个 Web 网 页 的 
过 程 进行 讨论 ,如 图 1. 22 所 示 。 首 先 讨论 万 维 网 和 浏览 器 的 结构 ,然后 介绍 DNS 及 其 安全 
问题 ,其 次 是 HTTP 及 其 安全 问题 。 在 互联 网 的 应 用 中 引入 了 Coockie 后 扩展 了 网 络 的 各 
种 功能 ,但 是 带 来 的 安全 攻击 隐患 也 是 较 严 重 的 ,在 第 6.4 节 中 讨论 了 各 种 防护 措施 。 在 第 
6.5 节 中 介绍 了 FTP 文件 传输 协议 的 原理 及 其 安全 应 用 ,第 6.6 节 中 详细 讨论 了 电子 邮件 
的 各 种 技术 ,电子 邮件 信息 的 安全 保护 ,以 及 垃圾 电子 邮件 的 各 种 防护 措施 。 

本 章 在 介绍 每 种 互联 网 应 用 协议 的 原理 时 都 采用 实际 网 络 中 捕获 的 数据 为 例 ,同时 也 
介绍 了 当前 网 络 安全 管理 中 经 常 遇 到 的 利用 各 种 协议 漏洞 进行 的 攻击 行为 及 其 防护 措施 。 


6.1 万 维 网 的 基本 构架 


万 维 网 (World Wide Web,WWW) 是 一 种 通过 网 络 计算 机 访问 互联 网 上 的 文档 和 资源 
的 构架 。 这 些 文档 由 文本 、 图 形 、 照 片 .音频 视频 和 其 他 媒体 构成 ,可 通过 点 击 能 入 在 文档 中 
的 超 链接 (hyperlink) 进 行 访问 。 超 文本 标记 语言 (HyperText Markup Language, HTML) 
等 是 这 些 文件 的 编写 语言 。 万 维 网 可 通过 浏览 器 (browser) 进 行 访问 ,浏览 器 能 将 HTML 
等 编程 语言 表示 的 网 页 用 图 形 化 的 界面 显示 ,易于 阅读 ,并 通过 点 击 嵌 入 的 链接 访问 其 他 文 
档 和 资源 。 超 文本 传输 协议 (Hyper Text Transfer Protocol, HTTP) 是 为 了 传输 HTML 等 
格式 的 文件 而 设计 的 应 用 层 协 议 ,为 Web 客户 端 浏览 器 和 服务 器 的 交互 作 了 规定 。 

万 维 网 主要 采用 分 布 式 的 客户 /服务 器 结构 ,客户 机 提出 请 求 , 而 服务 器 返回 响应 。 如 
果 应 用 程序 的 客户 端 软件 建立 在 广泛 使 用 的 浏览 器 平台 之 上 ,那么 这 样 的 应 用 构架 也 称 为 
浏览 器 /服务 器 结构 。 

1. 浏览 器 的 结构 

浏览 器 是 万 维 网 中 使 用 最 多 的 一 种 客户 端 软件 ,其 结构 如 图 6. 1 所 示 , 用 于 解释 并 显示 
来 自 Web 服务 器 的 网 页 文件 。 常 用 的 浏览 器 有 微软 公司 的 IE(Internet Explorer) 和 网 景 
公司 的 Netscape 等 ,它们 的 结构 相似 。 浏 览 器 由 3 部 分 构成 : 控制 器 .客户 端 程序 和 协议 


让 键盘 和 鼠标 


浏览 器 HTML 
控制 器 | = | 
T T JavaScript 
HTTP | | FTP | | TELNET || SMTP ji 显示 器 
客户 端 协议 解释 器 


图 6.1 Web 浏览 器 的 构成 
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解释 器 。 控 制 器 接收 从 客户 机 的 键盘 和 鼠标 输入 的 数据 ,然后 使 用 指定 协议 的 客户 端 程序 
访问 网 站 上 的 Web 文件 ,并 将 收 到 的 文件 翻译 为 易 读 的 界面 显示 在 屏幕 上 。 浏 览 器 可 以 运 
行 的 客户 端 协议 是 HTTP、FTP、SMTP 和 TELNET 等 。 解 释 器 支持 HTML Java、 
JavaScript 等 编程 语言 编写 的 文件 ,这 取决 于 网 页 文件 的 类 型 。 

2. Web 服务 器 

Web 网 页 文件 存储 在 服务 器 中 。 每 次 收 到 客户 端的 请 求 后 ,服务 器 就 将 请 求 所 需 的 文 
件 复制 发 送 给 客户 端 。 为 了 提高 效率 ,服务 器 将 客户 常 访问 的 文件 存储 在 高 速 缓存 器 
(Cache) 中 ,这 上 比 从 磁盘 中 读 取 文件 要 快 。 服 务 器 可 用 多 线程 (Multithreading) 和 多 处 理 器 
来 提高 效率 ,可 同时 对 大 量 客户 端的 多 种 请 求 做 出 回应 。 

3. 统一 资源 定位 符 

利用 浏览 器 访问 一 个 Web 网 页 时 ,需要 在 浏览 器 的 地 址 栏 中 用 统一 资源 定位 符 
(Uniform Resource Locator,URL) 来 指定 该 网 页 的 存放 位 置 和 属性 等 。 如 图 6. 2 所 示 ， 
URL 定义 了 网 页 的 4 个 属性 : 访问 该 网 页 采用 的 应 用 层 协 议 ,存放 该 网 页 的 服务 器 域名 或 
IP 地 址 ,服务 器 的 连接 端口 ,以 及 该 网 页 在 服务 器 中 的 存放 路 径 和 文件 名 。 


协议 | : 省 主机 芋 地 址 或 域名 | :| 端口 号 | /| 存放 路 径 | / | 文件 名 
图 6.2 统一 资源 定位 符 的 组 成 


。 协议 : 指定 客户 /服务 器 用 于 传输 文件 的 应 用 层 协议 ,例如 ,FTP、HTTP、SMTP、 
TELNET 等 。 
主机 IP 地 址 或 域名 : 存放 和 提供 该 文件 信息 的 计算 机 地 址 ,可 以 用 主机 的 以 
WWW 开头 的 域名 ,但 这 不 是 强制 性 的 要 求 。 可 以 使 用 IP 地 址 或 DNS 域名 服务 器 
可 解析 的 注册 域名 。 
。 端口 号 : 在 主机 的 IP 地 址 或 域名 后 面 ,可 注 明 “: ”号 和 连接 端口 号 。 如 果 没 有 此 
“: 端口 号 ”, 就 默认 连接 到 该 协议 的 服务 器 端口 地 址 。 如 果 浏 览 器 要 连接 HTTP 
服务 器 的 公认 端口 80 ,就 可 将 其 省 略 。 如 果 有 些 服务 器 为 了 安全 等 其 他 原因 使 用 
的 是 其 他 非 公 认 的 端口 号 ,此 部 分 就 不 可 省 略 。 
存放 路 径 和 文件 名 : 给 出 要 获取 的 网 页 文件 名 及 其 在 服务 器 中 存放 的 路 径 。 此 部 
分 可 包含 若干 “/”, 用 于 分 开 主 目录 次 目录 和 文件 名 。 如 果 访 问 的 是 服务 器 根 目录 
下 的 默认 首页 (如 访问 网 站 的 首页 导航 文件 index. html 等 ) ,那么 URL 中 的 端口 号 
地 址 、 存 放 路 径 和 文件 名 都 可 以 省 略 。 

在 网 络 数据 监测 中 发 现 ,一 些 淫秽 网 站 利用 超 长 的 URL, 能 逃避 网 络 搜索 引擎 和 安全 
部 门 的 监测 。 

4. Web 文档 的 类 型 

万 维 网 中 使 用 的 文档 可 分 为 3 类 : 静态 文档 \ 动 态 文档 和 活动 文档 。 这 种 分 类 方法 是 
基于 网 页 文档 内 容 的 形成 过 程 的 不 同 。 本 节 仅 作 概念 性 的 简介 。 

(1) 静态 文档 : 静态 文档 (Static Documents) 的 内 容 是 固定 的 ,存放 在 服务 器 中 ,客户 访 
问 时 只 能 得 到 该 文档 的 一 个 副本 ,. 收 到 后 显示 在 浏览 器 上 。 文 档 的 内 容 是 在 生成 文档 的 时 
候 就 固定 了 ,而 不 是 在 访问 的 过 程 中 产生 的 。 用 户 不 能 改变 服务 器 中 文档 的 内 容 。HTML 
是 开发 网 页 的 一 种 编程 语言 ,如 图 6. 3(a) 所 示 。 

。， 164 。 


TS Web 服 务 器 客户 机 oy Web 服 务 器 时 


请 求 一 请 求 广 一 | 
程序 
HTML 文 档 一 动态 HTML 文 档 时 
静态 网 页 动态 网 页 
(a) 静态 的 HTML 网 页 (b) 使 用 CGI 的 动态 网 页 


图 6.3 静态 网 页 和 动态 网 页 


(2) 动态 文档 : 动态 文档 (Dynamic Documents) 是 由 Web 服务 器 根据 客户 的 请 求 产 生 
的 。 当 服务 器 收 到 客户 对 一 个 动态 网 页 的 请 求 后 , Web 服务 器 就 运行 一 个 应 用 程序 来 产生 
此 动态 文档 。 服 务 器 将 此 结果 作为 响应 发 送 给 客户 的 浏览 器 。 客 户 每 次 请 求 得 到 的 响应 中 
的 动态 文档 都 不 同 。 动 态 网 页 的 一 个 例子 是 从 服务 器 上 获取 时 间 和 日 期 ,客户 每 次 访问 服 
务 器 得 到 的 时 间 日 期 都 不 同 。 生 成 动态 文档 的 技术 是 公共 网 关 接 口 (Common Gateway 
Interface,CGI)。CGI 定义 了 动态 文档 的 书写 格式 ,程序 中 数据 的 加 入 ,以 及 输出 结果 的 使 
用 ,如 图 6.3(b) 所 示 。 

(3) 活动 文档 : 在 很 多 Web 应 用 中 ,需要 发 送 一 个 程序 或 脚本 到 客户 端的 机 器 上 运行 ， 
这 称 为 活动 文档 (Active Documents)。 例 如 ,发 送 一 个 程序 到 客户 端 运 行 来 产生 网 页 上 的 
一 个 动画 ,或 者 要 用 一 个 程序 在 客户 端 运 行 以 便 与 客户 进行 交互 。 当 浏览 器 请 求 获得 一 个 
活动 文档 时 ,服务 器 就 回复 此 文档 或 脚本 的 一 个 副本 ,客户 机 收 到 此 程序 后 ,就 在 浏览 器 上 
运行 。Java Applet 是 开发 活动 文档 的 一 个 软件 工具 , 它 开发 的 活动 文档 可 以 在 浏览 器 上 运 
行 ,也 可 以 不 需要 浏览 器 ,独立 在 客户 机 上 运行 。 在 动态 文档 中 的 一 些 思想 也 可 以 用 于 活动 
文档 中 ,如果 活动 文档 中 的 活动 部 分 较 少 ,就 可 以 用 脚本 语言 来 写 , 然 后 就 可 以 在 客户 端 同 
时 解释 和 运行 。 用 于 这 种 情况 的 脚本 技术 是 Java Script。 活 动 文档 有 时 也 称 为 “客户 端的 
动态 文档 ”。 图 6. 4 为 这 两 种 活动 文档 的 示意 图 。 


客户 机 中 Web 服 务 器 客户 机 Web 服 务 器 
运行 Applet Ll 运行 Java Ls 
获得 结果 Script 获 得 
Te Applet 结果 Java Script 
活动 网 页 活动 网 页 
(a) 使 用 Java Applet 的 活动 网 页 (b) 使 用 客户 端 肢 本 的 活动 网 页 


图 6.4 网 页 活动 文档 的 产生 过 程 


Web 浏览 器 可 通过 http 客户 端 协议 ,采用 GET 等 方法 向 Web 服务 器 发 送 请 求 , 以 获 
取 这 几 类 文档 。 详 细 参 看 表 6. 2。 
网 页 文档 的 类 型 从 早期 的 静态 文档 扩展 到 动态 文档 和 活动 文档 等 多 种 类 型 , 极 大 地 丰 
富 了 网 页 的 表现 形式 和 应 用 范围 ,但 是 也 带 来 了 很 多 安全 问题 。 当 用 浏览 器 访问 一 些 不 安 
全 的 网 站 时 ,有 可 能 同时 下 载 一 些 恶意 的 可 执行 程序 到 客户 机 中 ,对 浏览 器 或 计算 机 系统 造 
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成 破坏 ,应当 采取 响应 的 防护 措施 。 


6.2 域名 系统 及 其 安全 


在 互联 网 模型 的 应 用 层 中 ,大 部 分 应 用 是 基于 客户 /服务 器 工作 模式 的 。 客 户 /服务 器 
的 工作 模式 又 可 以 分 为 两 类 : 一 类 是 可 以 直接 被 用 户 使 用 的 ,如 Web 网 页 浏览 和 收发 电子 
邮件 等 ; 另 一 类 则 用 于 支持 其 他 应 用 程序 的 工作 ,域名 系统 (domain name system, DNS) 就 
是 这 样 一 类 ,用 于 支持 Web 访问 、 电 子 邮 件 等 应 用 ,提供 主机 域名 和 IP 地 址 之 间 的 转换 ,以 
及 传送 电子 邮件 的 路 径 选 择 信息 等 。 如 果 DNS 产生 故障 或 受到 破坏 ,将 导致 互联 网 的 局 部 
或 大 范围 的 不 能 使 用 。 

图 6.5 是 DNS 为 电子 邮件 系统 服务 的 例子 。 此 应 用 中 ,DNS 的 客户 /服务 器 程序 帮助 
电子 邮件 程序 查询 到 电子 邮件 用 户 注册 的 服务 器 IP 地 址 。 发 送 电子 邮件 的 用 户 只 知道 接 
收 者 的 邮箱 地 址 ,但 是 在 互联 网 上 传输 邮件 需要 的 是 收 件 人 的 邮件 服务 器 IP 地 址 。 电 子 邮 
件 用 户 代理 就 启动 DNS 客户 软件 ,发 送 一 个 查询 请 求 给 本 地 的 DNS 服务 器 ,请 将 收 件 人 的 
邮箱 域名 地 址 映射 为 相应 的 IP 地 址 ,然后 邮件 程序 SMTP 才能 将 邮件 传 到 收 件 人 的 邮件 
服务 器 。 在 网 络 计算 机 的 配置 参数 中 ,需要 人 工 或 由 DHCP 动态 主机 配置 协议 自动 为 本 机 
设置 一 个 DNS 服务 器 IP 地 址 ,作为 本 机 上 网 必须 的 默认 DNS 服务 器 。 


邮件 用 户 | sdhe(@ynu.edu.cn 


1 

= SMTP DNS DNS 
应 用 层 | | 客户 软件 | | 客户 软件 |- 服务 器 
202.203.208.33 202.203.208.33 


进行 DNS 查 询 


ynu.edu.cn ynu.edu.cn 
| | 


传输 层 202.203.208.33 ”SMTP: 简单 邮件 传输 协议 DNS: 域名 系统 


图 6.5 DNS 为 邮件 传输 提供 服务 的 例子 


互联 网 用 IP 地 址 唯一 标识 连接 在 网 络 上 的 一 台 主 机 。 但 是 IP 地 址 难于 记忆 ,人 们 使 
用 主机 的 域名 比 使 用 IP 地 址 更 方便 ,因此 就 需要 设立 一 个 公共 的 DNS 将 用 户 需 要 访问 的 
主机 域名 转换 为 IP 地 址 ,或 将 IP 地 址 转换 为 域名 。 在 DNS 服务 器 中 存 有 网 络 计算 机 的 域 
名 与 IP 地 址 的 映射 表 , 供 客户 进行 查询 。 参 看 图 1. 22 中 DNS 为 Web 访问 提供 IP 地 址 查 
询 的 例子 。 

由 于 互联 网 域名 数量 十 分 巨大 ,不 可 能 只 用 一 台 域 名 服务 器 来 容纳 互联 网 上 所 有 的 计 
算 机 域名 和 IP 地 址 的 对 照 表 ,并 且 还 要 保持 此 对 照 表 的 时 常 更 新 。 当 前 的 解决 方案 是 ,将 
数量 巨大 的 域名 信息 按 区 域 或 行业 类 别 划分 为 较 小 的 部 分 ,分 别 存储 在 不 同 专 网 (如 中 国教 
育 科研 网 ,中国 电信 网 等 ) 和 不 同 层次 的 域名 服务 器 内 ,构成 一 个 层次 结构 的 分 布 式 的 域名 
系统 。 需 要 获取 域名 查询 服务 的 计算 机 ,首先 与 离 它 最 近 的 域名 服务 器 联系 。 


6.2.1 域名 系统 概述 


在 互联 网 中 的 每 台 主 机 必须 有 一 个 唯一 的 名 字 。 当 联网 的 主机 较 少 时 ,域名 比较 容易 
选择 。 但 随 着 互联 网 主机 的 数量 越 来 越 多 ,必须 采用 分 层次 的 域名 空间 (Hierarchical 
Domain Name Space) 对 域名 进行 分 配 和 管理 。 所 有 域名 由 倒置 的 树 定义 , 树 根 位 于 顶部 ， 
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树 最 多 可 有 128 级 : 标识 为 第 0 级 ( 根 节点 ) 到 第 
127 级 ,每 一 级 可 分 别 定义 为 行业 .部门 等 名 称 ， 
也 可 是 任意 不 重复 的 名 字 ,如 图 6. 6 所 示 。 
在 一 个 层次 结构 的 域名 空间 中 ,每 个 域名 分 
为 几 个 部 分 : 最 右 部 分 定义 为 国家 域 , 右 二 部 分 
图 6.6 层次 结构 的 域名 空间 定义 为 组 织 机 构 的 属性 (如 edu、gov 等 ) , 右 三 部 
分 可 以 定义 组 织 机 构 的 名 称 ( 如 cctv、sina 等 ) , 右 
四 部 分 可 定义 为 组 织 的 内 部 机 构 和 部 门 ( 如 engineering \lab 等 )。 这 样 一 来 可 以 将 域名 空 
间 的 分 配 管理 权限 也 按 层次 划分 , 根 域 名 管理 机 构 负 责 组 织 机 构 域名 的 属性 和 名 称 管理 ,而 
机 构 域 名 及 其 内 部 的 域名 管理 权限 下 放 给 本 单位 网 络 管理 部 门 自己 分 配 。 单 位 的 域名 管理 
部 门 可 以 根据 自己 的 资源 分 类 和 主机 管理 的 需要 ,在 给 定 的 名 称 上 增加 前 级 ,这 些 前 级 可 以 
与 其 他 单位 的 前 级 重复 ,但 是 整个 域名 是 不 能 重复 的 。 
NDS 域名 服务 器 中 有 两 个 数据 库 ,一 个 固定 的 数据 库 用 于 存放 本 域名 服务 器 管辖 范围 
内 的 已 授权 的 域名 /IP 地 址 信息 ,而 另 一 个 动态 数据 库 用 于 存放 来 自 其 他 域名 系统 的 非 本 
地 授权 的 动态 域名 /IP 地 址 信息 。 
1. 域名 空间 
域名 空间 中 的 术语 : 
。 标签 (Label) : 树 中 的 每 个 节点 有 一 个 标签 ,最 多 可 包含 63 个 字符 , 根 标签 为 空 串 。 
DNS 要 求 每 一 个 节点 的 字 节 点 (从 同一 个 节点 分 支出 来 的 节点 ) 具 有 不 同 的 标签 ， 
这 样 就 能 确保 域名 的 唯一 性 。 


root 


。 域名 (Domain Name): 树 中 的 每 个 节点 标签 加 上 符号 
点 “. ”构成 域名 。 域 名 总 是 从 节点 向 上 读 取 直至 树 根 ， ”标号 en 域名 cn. 
如 图 6.7 所 示 。 通 常 把 包含 完整 主机 名 称 的 域名 称 为 ”标号 edu 人 域名 edu.cn. 
全 域名 (Fully Qualified Domain name,FQDN) ,可 以 唯 慰 Bmu 同志 yn eduen 
一 定义 一 台 主 机 的 名 称 。 图 6.7 中 的 域名 sun. ynu. 1 


edu, en. 是 一 个 全 域名 ,表示 安装 在 某 大 学 (Yunnan 标号 sun 域名 sun.ynu.edu.cn. 
University) 的 一 台 名 为 sun 的 计算 机 。 因 67 茂名 和 你 和 
2. 域 
域 (Domain) 是 域名 空间 的 一 颗 子 树 。 域 的 名 称 是 子 树 顶 层 节 点 的 名 称 。 一 个 域 可 再 
次 分 隔 为 多 个 子 域 (Sub-domain) ,因此 域 的 概念 具有 相对 性 。 通 常 ,DNS 服务 器 群 的 配置 
是 在 第 一 级 根 服 务 器 (Root Server) 的 基础 上 划分 多 个 子 域 。 一 个 较 大 的 子 域 可 进一步 分 
隔 为 更 小 的 子 域 。 每 一 台 服 务 器 负责 一 个 域 , 如 同 建立 域名 的 层次 结构 一 样 , 构 成 了 DNS 
服务 器 群 的 分 布 式 的 层次 结构 ,如 图 6. 8 所 示 。 
互联 网 中 的 域名 空间 分 为 三 个 部 分 : 通用 域 .国家 域 和 反 向 域 。 
。 通用 域 (Generic Domain): 按照 主机 的 类 属 进行 定义 。 树 中 的 每 个 节点 定义 一 个 
域 ,在 通用 域 的 第 一 级 允许 有 至 少 14 个 可 能 的 字符 标号 ,如 表 6. 1 所 示 。 
。 国家 域 (Country Domain) : 与 通用 域 相似 ,第 一 级 使 用 二 字符 的 国家 缩写 ,如 cn 代 
表 中 国 、us 代表 美国 .jp 代表 日 本 等 。 第 二 级 可 是 机 构 标 号 或 由 各 国 自 己 指 定 。 
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图 6.8 DNS 服务 器 群 的 层次 分 布 结构 


表 6.1 通用 域 标号 


标 号 含义 全 
aero 航空 公司 域名 国际 组 织 
biz 商业 站 点 或 企业 ,类 似 于 com 军事 机 构 


本 商业 组 织 博物 馆 和 其 他 非 列 利 组 织 
coop 合作 性 商业 组 织 a 个 人 站 点 标号 

2 教育 机 构 网 络 支持 中 心 

gov 政府 部 门 非 赢利 组 织 

ji 信息 服务 提供 商 专业 个 人 组 织 


。 反 向 域 (Inverse Domain): 用 于 将 IP 地 址 映射 为 域名 。 反 向 域 的 第 一 级 节点 叫做 
arpa 地 址 解析 协议 地 址 ,第 二 级 节点 叫 In-addr 反 向 地 址 ,其 他 部 分 书写 IP 地 址 。 
处 理 反 向 域 的 服务 器 是 分 层次 结构 的 。 这 意味 着 地 址 的 网 络 号 位 于 比 子 网 号 高 的 
层次 ,而 子 网 号 位 于 比 主 机 号 高 的 层次 。 因 此 ,把 132. 34. 45. 121 映射 成 域名 ,其 反 
向 域 写 为 121. 45. 34. 132. in-addr. arpa。 
3. 中 国 互联 网 域名 体系 及 中 文 域名 注册 
中 国 的 域名 管理 采用 层次 结构 ,由 中 国 互联 网 络 信 息 中 心 (CNNIC) 进 行 统一 管理 。 其 
一 级 域名 用 cn 定义 ,二 级 域名 分 为 “类 别 域名 ”和 “行政 域名 ”。 中 文 域名 包含 汉字 ,各 级 中 
文 域名 之 间 仍 用 “. ”连接 ,各 级 长 度 不 超过 20 个 字符 。 
用 户 要 注册 一 个 新 的 域名 时 ,首先 向 域名 注册 中 心 或 代理 机 构 提 出 申请 ,申请 中 包含 自 
己 的 服务 器 域名 和 IP 地 址 。 注 册 机 构 首 先 查 验 申 请 的 域名 是 否 全 球 唯 一 , 若 无 冲 突 , 就 将 
域名 放 人 自己 的 DNS 授权 数据 库 , 然 后 用 户 交 纳 一 定 的 费用 。 关 于 域名 注册 机 构 的 详细 信 
息 可 查询 网 址 http://www. intenic. com。 
4. 动态 域名 系统 
当初 设计 DNS 域名 系统 时 ,没有 人 预测 到 互联 网 上 每 天 都 有 如 此 大 量 的 域名 和 IP 地 
址 的 变化 。 当 在 DNS 数据 库 中 加 入 一 个 新 的 域名 信息 :或 删除 一 个 域名 信息 ,或 改变 域名 
主机 的 IP 地 址 时 ,这 些 变化 都 要 修改 DNS 的 主 文件 。 以 前 ,这 些 修 改 和 更 新 都 涉及 大 量 的 
手工 操作 ,而 今 如 此 巨大 的 工作 量 是 不 可 能 靠 手工 操作 完成 的 。 
为 了 让 DNS 的 主 文件 能 够 动态 更 新 ,设计 了 动态 域名 系统 (Dynamic Domain Name 
System,DDNS)。 在 DDNS 系统 中 , 当 确定 了 一 个 域名 和 一 个 IP 地 址 的 绑 定 后 ,就 使 用 
» 168 。 


DHCP 协议 ( 见 第 3 章 ) 将 此 消息 发 送 给 第 1 级 DNS 服务 器 。 第 1 级 DNS 服务 器 就 更 新 该 
域 的 信息 ,然后 主动 或 被 动 地 将 此 改动 通知 第 2 级 DNS 服务 器 ,让 第 2 级 DNS 服务 器 更 新 
自己 的 数据 库 。 如 此 弟 推 ,让 各 级 DNS 服务 器 依次 更 新 自己 的 数据 库 。 在 DNS 变化 的 被 
动 通知 中 ,第 2 级 DNS 服务 器 周期 性 地 检测 第 1 级 的 DNS 数据 库 是 否 有 变化 , 当 出 现 变化 
后 , 它 就 请 求 获取 整个 域 的 信息 。 


6. 2.2 DNS 报 文 格式 


DNS 采用 由 客户 端 首先 发 出 请 求 ,而 服务 器 返回 响应 的 方式 工作 。 图 6. 9 所 示 为 DNS 
的 查询 (Query) 和 响应 (Response) 报 文 的 格式 。 根 据 其 报 文 长 度 和 属性 ,可 以 被 封装 到 传 
输 层 的 UDP 包 或 TCP 包 中 传输 。DNS 报 文 在 IP 包 中 的 封装 关系 如 图 1. 15 所 示 。 


头 部 | 查询 头 部 | 查询 [应答 | 授权 | 附加 信息 
(a) DNS 查询 报 文 的 结构 (b) DNS 响应 报 文 的 结构 
图 6.9 DNS 查询 和 响应 报 文 格式 


1. DNS 报 文 头 部 格式 
DNS 查询 和 响应 报 文具 有 相同 的 头 部 格式 , 头 部 共 长 12B, 如 图 6. 10 所 示 。 


2B 2B 
标识 (0D) 标志 (flag) 
查询 记录 数 回答 记录 数 (在 查询 报 文中 全 为 0) 
授权 记录 数 (查询 报 文中 全 为 0) | 附加 记录 数 (在 查询 报 文中 全 为 0) 


图 6.10 ”DNS 报 文 头 部 格式 


DNS 报 文 头 部 各 字段 的 含义 如 下 : 

(1) 查询 标识 (Identification ,ID): 客户 端 给 每 次 发 送 的 查询 指定 一 个 不 同 的 ID 标识 
号 ,服务 器 的 响应 中 也 要 重复 这 个 ID 编号 ,客户 端 根据 收 到 的 应 答 中 的 ID 号 与 自己 发 送 的 
查询 ID 号 进行 匹配 。 如 果 客 户 端 发 送 了 一 个 ID 号 的 DNS 查询 请 求 后 , 收 到 了 多 个 ID 号 
相同 而 答案 不 同 的 查询 结果 ( 即 各 应 答 中 该 域名 对 应 的 IP 地 址 不 同 ) ,那么 客户 端 只 采用 收 
到 的 第 一 个 应 答 中 的 IP 地 址 。 因 此 可 导致 一 种 隐患 : 诱骗 者 可 以 抢 在 DNS 服务 器 之 前 先 
向 客户 机 发 回 具有 此 ID 号 的 错误 响应 ,而 进行 IP 地 址 误导 和 诱骗 。 

(2) 标志 (flags): 分 为 8 个子 字段 ,如 图 6. 11 所 示 。 每 个 子 字段 的 定义 如 下 : 


UP 5 
QR | Opeode [AA[TC [RD[RAT (zreo) [R code 


图 6.11 DNS 头 部 的 标志 字段 的 格式 


QR(Query/ Response, 查 询 / 响 应 ): 报 文 类 型 字段 (lbit) , 值 为 0 表示 这 是 客户 端的 查 
询 报 文 ,为 1 表示 这 是 服务 器 的 响应 报 文 。 
Opcode(Operation Code, 操 作 码 ): 查询 /响应 的 类 型 (4bits), 值 为 0000 表示 标准 查 
询 / 响 应 ,为 1111 表示 反 向 查询 /响应 ,0010 表示 服务 器 状态 请 求 。 
AA(Authoritative Answer, 授 权 回 答 ): 只 用 在 响应 报 文中 (lbit) , 值 为 1 表示 提供 应 
» 169 。 


答 的 DNS 服务 器 就 是 该 域名 的 授权 服务 器 。 

TC(truncated ,截断 标志 ): 只 在 UDP 协议 中 使 用 (1bit) , 值 为 1 表示 服务 器 应 答 的 总 
长 度 已 超过 512 字 节 ,只 向 客户 端 返回 前 512 字 节 。 

RD(Recursion Desired ,要 求 采 用 递归 方式 查询 该 域名 ) : 1bit, 能 在 查询 报 文中 进行 设 
置 ,并 在 响应 报 文中 返回 。 值 为 0 表示 和 迭代 查询 ,为 1 表示 递归 查询 。 

RA(Recursion Available, 可 用 递归 查询 ): 只 用 在 响应 报 文中 (1bit) , 若 域名 服务 器 支 
持 递归 查询 , 则 在 响应 报 文中 将 该 字段 置 1。 

zero( 零 标志 ) : 值 为 000(3bits) 。 

R Code(Return Code, 返 回 码 ): 返回 在 响应 中 的 差错 状态 (4bits) , 值 为 0000 表示 无 差 
错 ,0001 表示 格式 差错 ,0010 表示 域名 服务 器 上 有 问题 ,0011 表示 域 参照 问题 ,0100 表示 查 
询 类 型 不 支持 ,0101 表示 在 管理 上 禁止 ,其 他 值 保留 。 

(3) 询问 记录 数 (Questions) : 指 该 报 文中 询问 部 分 所 包含 查询 的 数量 。 

(4) 应 答 记 录 数 (Answer RRS) : 指 响应 报 文中 应 答 部 分 所 包含 应 答 记 录 的 数量 。 

(5) 授权 记录 数 (Authority RRS) : 指 响应 报 文中 授权 部 分 所 包含 授权 记录 的 数量 。 

(6) 附加 记录 数 (Additional RRS): 指 响应 报 文中 附加 部 分 包含 附加 记录 的 数量 。 

2. DNS 报 文 的 其 他 部 分 

DNS 报 文 的 其 他 部 分 是 ， 

(1) 询问 CQueries) : 由 一 条 或 多 条 询问 记录 构成 。 查 询 和 响应 报 文 均 含 有 该 部 分 。 

(2) 应 答 (Answers) : 由 一 条 或 多 条 资源 记录 构成 。 只 在 响应 报 文中 出 现 。 该 部 分 包 
含 从 服务 器 端 到 客户 端的 应 答 。 

(3) 授权 的 域名 服务 器 (Authoritative Name Servers): 由 一 条 或 多 条 记录 构成 。 只 在 
响应 报 文中 出 现 。 该 部 分 给 出 了 一 台 或 多 台 授 权 服务 器 的 域名 ,是 它们 给 所 查询 的 域名 /IP 
地 址 授权 的 。 

(4) 附加 信息 (Additional Records) : 由 一 条 或 多 条 资源 记录 构成 。 只 在 响应 报 文中 出 
现 。 提 供 有 助 于 域名 解析 的 附加 信息 ,例如 ,给 出 所 查询 的 域名 的 授权 服务 器 的 IP 地 址 等 。 

3. 查询 报 文中 的 询问 记录 和 响应 报 文中 的 资源 记录 

上 文 提 到 询问 记录 和 资源 记录 两 个 名 称 : 

(1) 询问 记录 : DNS 查询 报 文 的 询问 部 分 由 一 条 或 多 条 询问 记录 构成 ,每 条 记录 的 格 
式 如 图 6. 12 所 示 。 通 常 只 有 1 条 询问 记录 。 

查询 名 就 是 要 查找 的 域名 ,由 一 个 或 多 个 标签 组 
成 。 每 个 标签 以 数字 为 首 , 该 数字 表示 随后 标签 的 字 

图 6.12 客户 端 发 送 的 DNS 查询 报 文 节 长 度 。 每 个 域名 以 最 后 字 节 为 0 结束 。 代 表 字 节 数 
中 的 交 风 加 寺村 或 量 的 值 必须 是 0~63 之 间 的 整数 ,因为 标签 的 最 大 长 
度 是 63。 例 如 域名 www. ynu. edu. cn 写成 查询 名 

为 3www3ynu3edu2cn0, 其 中 3、3、3、2、0 是 计数 值 。 

每 条 询问 记录 有 一 个 查询 类 型 , 约 有 20 个 不 同 的 类 型 值 。 最 常见 的 查询 类 型 是 A 类 
型 ,表示 期 望 得 到 查询 域名 的 IP 地 址 。 查 询 类 一 般 为 1 , 指 查询 的 是 互联 网 IP 地 址 。 

(2) 资源 记录 : DNS 报 文 的 应 答 部 分 .授权 部 分 和 附加 信息 部 分 均 采 用 一 种 称 为 资源 
记录 (Resource Record,RR) 的 相同 格式 。 当 域名 解析 器 把 一 个 域名 传递 给 DNS 时 ,DNS 

0 二 


查询 名 (要 查找 的 域名 ) 
查询 类 型 查询 类 


返回 的 是 与 该 域名 相关 联 的 资源 记录 。 因 此 ,DNS 的 基本 功能 是 将 域名 映射 到 资源 记录 
上 。 每 条 资源 记录 的 格式 如 图 6. 13 所 示 。 


域名 | 生存 时 间 | 类 别 | 类 型 | 什 


图 6.13 服务 器 响应 的 DNS 资源 记录 的 格式 


域名 是 记录 中 资源 数据 对 应 的 域名 。 域 名 中 每 一 级 的 标号 必须 以 一 个 字母 字符 开头 ， 
不 区 分 大 小 写 。 

生存 时 间 指 该 资源 记录 在 域名 服务 器 中 保存 的 时 间 ( 单 位 : 秒 ) ,在 报 文中 这 是 一 个 
32 位 无 符号 的 数 ,通常 的 生存 时 间 不 超过 1 天 。 

类 别 (class) 用 来 标识 协议 类 别 ,常用 的 值 是 IN( 指 互联 网 IP 地 址 ) 。 

类 型 (type) 指 明 这 是 何 种 类 型 的 记录 ,如 值 1(A 记录 ) 的 资源 数据 是 4 字 节 IP 地址 , 值 
15CMX 记录 ) 的 资源 数据 是 邮件 交换 (把 一 个 邮箱 名 字 映 射 为 一 个 主机 名 字 ), 值 
5(CNAME 记录 ) 的 资源 数据 是 规定 一 台 主 机 的 别名 等 。 

例如 , 某 DNS 数据 库 中 的 一 条 资源 记录 : 


book. ynu. edu. cn 86400 IN CNAME lib. ynu. edu. cn 


其 中 ,定义 lib. ynu. edu. cn 主机 的 别名 为 book. ynu. edu. cn, 有 效 时 间 1 天 (86400s)。 
6.2.3 DNS 域名 /IP 地 址 解析 的 工作 流程 


DNS 的 工作 流程 是 将 域名 到 IP 地 址 或 将 IP 地 址 到 域名 的 转换 过 程 , 称 为 域名 -地 址 解 
析 (name-address resolution) 。 域 名 -地 址 解析 由 DNS 服务 器 完成 。DNS 分 为 服务 器 端 和 
客户 端 , 当 客户 端 向 服务 器 发 出 查询 请 求 时 ,服务 器 必须 做 出 回答 。 本 地 DNS 服务 器 首先 
查询 自己 的 数据 库 , 若 自己 的 库 中 没有 对 应 的 结果 , 则 向 上 一 级 DNS 服务 器 询问 ,得 到 结果 
后 ,就 把 收 到 的 查询 结果 保存 在 自己 的 高 速 缓存 中 ,并 回答 客户 端 。 应 用 实例 见 图 1.4 和 表 
1.2。 

从 域名 到 IP 地 址 的 解析 是 DNS 的 常规 工作 。 客 户 端的 解析 器 向 DNS 服务 器 提交 域 
名 ,请 求 告知 对 应 的 IP 地 址 。 服 务 器 检查 通用 域 或 国家 域 以 查找 相应 的 映射 。 从 IP 地 址 
到 域名 的 解析 ,客户 端 解析 器 向 DNS 服务 器 发 送 反 序 的 IP 地 址 ,并 加 上 in-addr 和 arpa 两 
个 标号 ,以 创建 能 够 被 反 向 域 所 识别 的 域名 。 

可 采用 两 种 域名 /IP 地 址 解析 方法 : 递归 解析 方法 和 和 迭代 解析 方法 。 

1. DNS 的 递归 解析 

递归 解析 由 本 地 DNS 服务 器 向 客户 端 提供 最 终 解 答 , 这 是 当前 客户 端 浏 览 器 的 默认 设 
置 。 图 6. 14 是 一 个 递归 解析 的 实例 。 


ynu 客 户 本 地 服务 器 -du 服务 器 3 -Com 服务器， :Sina 服务 器 


查询 ad.sina.com 蔬 盖 | dns.ynu.edu | dns.edu 到 一 | dns.com [CG dns.sina.com 
8 7 6 


5 
图 6.14 DNS 解析 器 通过 递归 解析 来 查找 一 台 主 机 域名 对 应 的 IP 地 址 


此 例 中 ,ynu 的 客户 机 解析 器 要 查询 域名 为 ad. sina. com 主机 的 IP 地 址 。 第 1 步 , 向 
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本 地 域名 服务 器 dns. ynu. edu 发 送 一 条 查询 消息 。 假 设 本 地 域名 服务 器 对 此 域 一 无 所 知 ， 
于 是 向 其 数据 库 中 指定 的 edu 服务 器 dns. edu 发 送 一 个 UDP 分 组 (第 2 步 )。 不 幸 的 是 
edu 服务 器 也 不 知道 ad. sina. com 的 IP 地 址 ,于 是 将 请 求 转发 给 子 域 服务 器 dns. com( 第 3 
步 ) ,而 dns. com 服务 器 再 将 请 求 转发 给 必定 拥有 授权 资源 记录 的 dns. sina. com( 第 4 步 )。 
因为 每 一 步 的 请 求 都 是 从 客户 端 传递 到 服务 器 端 , 则 在 第 5 步 至 第 8 步 中 ,所 请 求 的 应 答 资 
源 记 录 又 被 回 传 过 来 。 最 后 将 这 些 记 录取 回 到 本 地 域名 服务 器 ,将 此 最 终 查询 结果 告诉 客 
户 端 ,同时 存放 一 份 副本 在 途经 的 所 有 服务 器 的 缓存 中 ,以 备 将 来 之 需 。 但 这 些 信 息 是 非 授 
权 的 ,不 能 被 长 久保 存 , 保 存 期 为 1 天。 递归 解 析 的 优点 是 客户 端 只 与 本 地 DNS 服务 器 联 
系 , 客 户 工作 量 较 小 。 

但 是 ,如 果 在 进行 递归 解析 的 这 些 DNS 服务 器 群 中 有 一 台 的 高 速 缓存 器 内 被 置信 了 错 
误 的 “域名 /IP 地 址 ?记录 ,或 DNS 响应 数据 在 返回 传输 的 过 程 中 被 恶意 的 中 间 人 拦截 算 改 
了 ,这 将 误导 客户 端 去 访问 错误 IP 地 址 的 主机 ,这 种 攻击 行为 称 为 DNS 欺骗 。 在 递归 解析 
过 程 中 要 查找 到 产生 DNS 欺骗 的 具体 位 置 ,或 者 查找 到 高 速 缓存 被 恶意 算 改 的 DNS 服务 
器 比较 困难 。 

2. DNS 的 迭代 解析 

第 二 种 查询 方式 是 域名 的 迭代 解析 。 当 一 个 客户 机 向 机 内 设置 的 默认 DNS 服务 器 的 
IP 地 址 发 送 域名 解析 请 求 时 ,如 果 该 DNS ee 该 域名 的 信息 ,就 将 该 信息 发 给 客户 
端 。 如 果 默 认 DNS 服务 器 不 能 解析 出 客户 要 求 的 查询 ,就 向 客户 端 推荐 另 一 个 DNS 服务 

Ds 器 ,客户 机 就 向 第 2 个 DNS 服务 器 发 送 
RS 查询 请 求 。 如 果 第 2 个 DNS 服务 器 也 


不 能 解析 出 客户 要 求 的 查询 ,就 向 客户 
推荐 第 3 个 DNS 服务 器 。 这 样 重复 下 
Ne 去 ,直到 客户 获得 查询 结果 ,或 者 被 告知 
查询 结果 失败 。 这样 的 域名 查询 称 为 


上 一 J 国 级 DNS ”项 级 DNS DNS 的 迭代 解析 ,如 图 6.15 所 示 。 


图 6.15 DNS 的 迭代 解析 过 程 在 迭代 解析 中 客户 端的 工作 量 较 
大 ,优点 是 如 果 客 户 机 收 到 的 DNS 应 答 中 含有 诱骗 的 IP 地 址 信息 ,就 容易 查 到 缓存 受到 错 
误 数 据 自 改 的 DNS 服务 器 或 产生 诱骗 的 环节 ,因此 安全 性 较 好 。 


6.2.4 DNS 报 文 的 封装 实例 


DNS 的 查询 请 求 或 响应 的 报 文 可 以 封装 到 TCP 或 UDP 的 协议 数据 单元 中 。DNS 服 
务 器 的 公认 端口 号 为 53。 由 于 大 部 分 UDP 协议 数据 单元 的 最 大 尺寸 限制 是 512B, 因 此 当 
响应 报 文 少 于 512B 时 ,就 封装 在 UDP 中 发 送 。 当 响应 报 文 的 长 度 超过 了 512B, 就 需要 建 

一 个 TCP 连接 ,可 能 出 现 两 种 情况 : 

(1) 如 果 客 户 端 解析 器 事先 知道 响应 报 文 的 长 度 大 于 512B, 就 先 与 DNS 服务 器 建立 
TCP 连接 。 例 如 ,如 果 一 个 二 级 域名 服务 器 (作为 客户 端 ) 需 要 从 一 级 域名 服务 器 那里 接收 
一 个 域 的 信息 , 它 就 主动 与 一 级 域名 服务 器 建立 一 个 TCP 连接 ,因为 它 已 经 知道 要 传输 一 
个 域 的 DNS 信息 ,必定 将 超过 512B。 

(2) 如 果 客 户 端 解析 器 不 知道 响应 报 文 的 大 小 ,可 以 向 服务 器 的 53 端口 发 送 UDP 封 
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装 的 查询 请 求 。 然 而 ,如 果 响 应 报 文 的 长 度 大 于 512B, 服 务 器 就 截断 报 文 ,将 DNS 头 部 的 
标志 字段 flags 中 的 截断 标志 TC 位 设 为 1, 见 图 6. 11。 客 户 端的 解析 器 就 打开 一 个 TCP 
连接 ,并 且 重 复发 送 请 求 ,直到 从 服务 器 得 到 整个 的 报 文 。 

1. DNS 客户 的 查询 报 文 实例 

在 图 1.4 和 表 1. 2 中 给 出 了 一 个 浏览 器 访问 www. sina. com. cn 网 页 的 DNS 域名 查询 
过 程 。 图 6. 16 为 用 Wireshark 捕获 的 下 浏览 器 发 送 的 DNS 查询 报 文 的 内 容 。 从 中 可 看 
出 , 包 内 的 协议 数据 封装 顺序 为 eth: ip: udp: dns。 客 户 机 IP 地 址 为 10. 0. 26. 9,DNS 服 
务 器 IP 地 址 为 202. 203. 208. 33 。 客 户 机 发 送 的 UDP 源 端口 为 59585 ,目的 端口 为 53。 对 
照 图 6. 10 和 图 6. 16 可 看 出 ,DNS 查询 ID 为 0x ec2f ,标志 Flags 为 0x0100( 标 准 查询 ) , 查 
询 记录 数 1, 回 答 记 录 数 0, 授 权 记 录 数 0, 附加 记录 数 0。 对 照 图 6. 16 和 图 6. 12 可 看 出 , 查 
询 域名 为 www. sina. com. cn 查询 类 型 为 A( 主 机 地 址 ) ,查询 类 为 IN( 互 联网 地 址 ) 。 


由 Internet Protocol, src: 10.0.26.9 (10.0.26.9), Dst: 202.203.208.33 (202.203.208.33 
田 User Datagram Protocol, Src Port: 59585 C59585), Dst Port: domain (53) 
Domain Name System (query) 
JResponse In: 31 
Transaction ID: Oxec2f 
国 Flags: 0x0100 (standard query) 
Questions: 1 
Answer RRS: 0 
Authority RRs: 0 
Additional RRs: 0 
BB Queries 
日 www.sina.com.cn: type A, class IN 


Name: www.sina.com. cn 
Type: A (Host address) 
Class: IN (0x0001) 


图 6.16 下 浏览 器 查询 新 浪 卫 地 址 的 DNS 查询 包 内 容 


2. DNS 服务 器 的 响应 报 文 实例 

图 6. 17 所 示 为 DNS 服务 器 对 图 6. 16 所 示 的 DNS 查询 的 应 答 报 文 内 容 。 从 图 中 可 看 
,返回 此 应 答 的 域名 服务 器 202. 203. 208. 33 并 不 是 该 域名 的 授权 服务 器 。 回 答 记 录 数 为 9 
(对 域名 www. sina. com. cn 的 查询 提供 了 9 个 I 地址 ,其 中 一 个 全 地 址 是 121. 194. 0. 205 ,有 
效 期 31 秒 ) ,对 这 些 域名 /IP 地 址 的 授权 服务 器 有 3 个 (其 中 之 一 是 nsl. sina. com. cn, 有 效 
期 8 小 时 ) ,附加 记录 数 有 3 个 (提供 了 sina 的 授权 域名 服务 器 的 IP 地 址 ) 。 可 自行 实验 , 获 
取 图 6. 17 中 未 展开 显示 的 丰富 信息 。 


田 Internet Protoco1，Src: 202.203.208.33 (202.203.208.33), Dst: 10.0.26.9 (10.0.26.9) 
四 User Datagram Protocol, Src Port; domain (53), Dst Port; 59585 (59585) 
BB Domain Name System (response) 

R mi 


[Time: 0.001595000 seconds] 
Transaction ID: Oxec2f 
国 Flags: 0x8180 (standard query response, No error) 
Questions: 1 
Answer RRs: 9 
Authority RRs: 3 
Additional RRs: 3 
国 Queries 
国 Answers 
国 Authoritative nameservers 
国 Additional records 


图 6.17 DNS 服务 器 对 客户 端的 应 答 报 文 内 容 


a 十 3 洛 


6.2.5 域名 系统 的 安全 隐患 


域名 系统 的 安全 威胁 可 分 为 3 类 : 第 1 类 是 黑客 通过 入 侵 DNS 服务 器 并 算 改 域名 信 
息 ( 域 名 劫持 ) ,对 查询 该 域名 的 客户 机 进行 IP 地 址 欺骗 ;第 2 类 是 采用 中 间 人 攻击 的 方法 ， 
在 传输 途中 截获 并 算 改 DNS 服务 器 给 客户 端的 响应 报 文 中 的 IP 地址 ,误导 浏览 器 访问 错 
误 的 网 站 ;第 3 类 是 对 目标 DNS 服务 器 进行 网 络 流量 放大 攻击 ,致使 DNS 服务 器 系统 瘫 
痪 ,使 其 服务 范围 内 的 互联 网 不 能 正常 工作 。 

1. 对 DNS 系统 的 域名 劫持 攻击 

在 前 面 讨论 了 动态 域名 系统 (DDNS) 的 概念 ,由 于 互联 网 域名 信息 处 于 动态 的 变化 中 ， 
域名 服务 器 内 的 信息 要 经 常 更 新 ,以 便 让 域名 映射 信息 保持 最 新 的 状态 。 此 过 程 容易 被 攻 
击 , 导 致 对 访问 DNS 服务 器 的 客户 机 提供 错误 IP 地 址 等 误导 行为 ,这 也 称 为 "域名 劫持 ”， 


如 图 6.18 所 示 。 
4. 恶意 攻击 Wr 园 新 浪 网 站 
211.95.77.13 
国 - 2 1. 查询 新 浪 网 


把 闪 站 ”TCP 连接 请 求 站 的 IP 地 址 
202.205.58.25 。 2. 新浪 的 IP 地 址 
是 202.205.58.25 DNS 域名 服务 器 的 
映射 表 被 黑客 算 改 


图 6.18 DNS 服务 器 的 映射 表 被 算 改 而 误导 客户 机 访问 恶意 网 站 


设 DNS 服务 器 的 域名 映射 表 中 有 一 条 信息 是 :“ 新 浪 网 站 的 全 地 址 为 211. 95. 77. 13”。 
如 果 此 映射 信息 中 的 IP 地 址 被 入 侵 的 黑客 算 改 为 一 个 恶意 网 站 的 IP 地 址 ,成 为 :“ 新 浪 网 
站 的 IP 地 址 是 202. 205. 58. 25”。 当 有 一 个 客户 机 要 访问 新 浪 网 站 时 ,从 DNS 服务 器 得 到 
的 目的 IP 地 址 为 202. 203. 58. 25 , 而 不 是 新 浪 网 站 的 211. 95. 77. 13 。 结 果 客 户 机 向 此 IP 
地 址 发 出 访问 请 求 时 , 收 到 的 却 是 恶意 攻击 或 进入 到 了 不 希望 访问 的 网 站 。 也 有 一 些 商 业 
广告 网 站 通过 对 DNS 服务 器 映射 表 的 非法 算 改 .将 自己 的 IP 地 址 与 点 击 率 较 高 的 著名 网 
站 域名 绑 定 在 一 起 ,以 此 方式 将 大 量 客户 机 的 访问 引 向 自己 的 商业 网 站 。 

要 防止 对 DNS 记录 的 非 授 权 算 改 ,DDNS 的 数据 更 新 必须 使 用 严格 的 安全 认证 技术 。 

2. 对 DNS 服务 器 的 数据 流放 大 攻击 

对 互联 网 上 的 域名 系统 进行 数据 流 的 放大 攻击 (DNS Amplification Attacks) 属 于 对 服 
务 器 系统 的 泛 洪 攻击 类 型 。 这 种 攻击 是 利用 DNS 数据 包 的 大 量变 体 , 产 生 针 对 一 个 目标 的 
大 量 的 虚假 的 通信 流量 。 这 种 浪 涌 式 的 冲击 流量 可 达 每 秒 钟 数 千 兆 字 节 ,造成 网 络 拥塞 , 足 
以 阻止 任何 人 访问 域名 系统 。 

与 老式 的 Smurf Attacks 非常 相似 ,DNS 放大 攻击 利用 了 无 辜 的 第 3 方 DNS 服务 器 ， 
诱骗 它们 向 被 攻击 的 DNS 服务 器 发 送 虚 假 的 数据 包 来 放大 通讯 量 ,其 目的 是 耗 尽 被 攻击 者 
的 全 部 带宽 。 但 是 ,Smurf Attacks 是 向 一 个 局 域 网 内 的 广播 地 址 发 送 数据 包 以 达到 放大 通 
信 流 量 的 目的 ,而 DNS 放大 攻击 不 使 用 广播 地 址 。 攻 击 者 冒充 “目标 DNS 服务 器 ”向 互联 
网 上 的 第 三 方 DNS 服务 器 发 送 小 的 诱骗 性 的 询问 报 文 , 报 文 的 源 IP 地 址 是 “目标 DNS 服 
务 器 ”。 这 些 第 三 方 DNS 服务 器 随后 将 向 表面 上 提出 查询 的 那 台 “ 目 标 DNS 服务 器 ?发 回 
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大 量 的 回复 ,导致 通信 流量 的 放大 并 且 最 终 把 “目标 DNS 服务 器 ”的 网 络 资源 耗 尽 。 因 为 
DNS 主要 是 以 无 连接 的 UDP 数据 包 为 基础 的 ,采取 这 种 攻击 具有 隐蔽 性 ,难于 追踪 攻 
击 者 。 

在 这 种 放大 攻击 手段 刚 出 现 的 时 期 ,主要 方法 是 对 第 三 方 DNS 服务 器 发 送 60B 左右 
的 查询 报 文 ,然后 服务 器 的 回复 报 文 最 多 可 达 512B, 这 可 使 回复 流量 放大 8. 5 倍 , 再 将 这 些 
回复 报 文 引 向 被 攻击 的 DNS 服务 器 。 但 是 ,这 难以 达到 攻击 者 希望 达到 的 浴 没 被 攻击 者 的 
水 平 。 最 近 , 攻 击 者 采用 了 一 些 更 新 的 技术 把 目前 的 DNS 放大 攻击 的 数据 流 提高 了 很 
多 倍 。 

当前 许多 DNS 服务 器 支持 EDNS 技术 。EDNS 是 DNS 的 一 套 扩大 机 制 ,在 互联 网 文 
件 RFC 2671 中 对 此 有 详细 的 介绍 。 通 过 一 些 选择 参数 能 够 让 DNS 回复 应 答 超 过 512B, 并 
且 仍 然 使 用 UDP 协议 。 攻 击 者 只 要 发 送 一 个 60B 的 查询 报 文 , 就 可 获取 一 个 大 约 4000B 
的 记录 的 响应 报 文 , 由 此 把 网 络 流量 放大 66 倍 。 

要 实现 这 种 攻击 ,攻击 者 首先 要 找到 互联 网 上 的 几 台 实施 循环 查询 工作 的 第 三 方 DNS 
服务 器 ,大 多 数 DNS 服务 器 都 有 这 种 设置 。 由 于 支持 循环 查询 ,攻击 者 可 以 向 一 台 DNS 服 
务 器 发 送 一 个 查询 ,这 台 DNS 服务 器 随后 把 这 个 查询 以 循环 的 方式 发 送 给 攻击 者 选择 的 一 
台 DNS 服务 器 。 接 下 来 ,攻击 者 向 这 些 服 务 器 发 送 一 个 DNS 记录 查询 ,这 个 记录 是 攻击 者 
在 自己 的 DNS 服务 器 上 控制 的 。 由 于 这 些 服务 器 被 设置 为 循环 查询 ,这 些 第 三 方 服 务 器 就 
向 攻击 者 发 回 这 些 请 求 。 攻 击 者 在 DNS 服务 器 上 存储 了 一 个 4000B 的 文本 用 于 进行 这 种 
DNS 放大 攻击 。 

现在 ,由 于 攻击 者 已 经 向 第 三 方 的 DNS 服务 器 的 缓存 中 加 入 了 大 量 的 记录 ,攻击 者 接 
下 来 向 这 些 服务 器 发 送 DNS 查询 信息 ( 带 有 启用 大 量 回复 的 EDNS 选项 ) ,并 采取 诱骗 手 
段 让 那些 DNS 服务 器 认为 这 个 查询 信息 是 从 攻击 者 希望 攻击 的 那个 IP 地 址 发 出 来 的 。 这 
些 第 三 方 DNS 服务 器 就 用 这 个 4000B 的 文本 记录 回复 给 被 攻击 者 ,由 此 产生 大 量 的 UDP 
数据 包 将 被 攻击 者 淹没 ,对 于 某 些 目标 的 攻击 甚至 超过 了 每 秒 钟 10GB 的 网 络 流量 。 由 于 
发 向 被 攻击 者 的 响应 报 文 是 来 自 大 量 的 第 3 方 服务 器 ,因此 较 难 追 踪 到 真正 的 发 动 攻击 者 。 

为 了 防御 这 种 大 规模 攻击 ,首先 要 保证 DNS 服务 器 有 足够 的 带宽 ,足以 承受 小 规模 的 
泛 洪 攻击 ,但 要 抵抗 每 秒 钟 数 GB 的 DNS 放大 攻击 是 较 困 难 的 。 另 外 ,要 保证 能 及 时 与 互 
联网 服务 提供 商 ISP 进行 联系 ,一 旦 发 生 这 种 攻击 ,可 以 让 ISP 在 上 游 过 滤 掉 这 种 攻击 包 。 
要 识别 这 种 攻击 ,可 以 使 用 Wireshark 等 网 络 协议 分 析 软 件 工具 ( 见 第 7 章 的 介绍 ) ,查看 包 
含 DNS 回复 的 数据 包 ( 源 UDP 端口 53) ,特别 是 要 查看 那些 拥有 大 量 DNS 记录 的 端口 。 
一 些 ISP 可 以 在 其 整个 网 络 上 部 署 传感器 以 便 检测 各 种 类 型 的 早期 大 量 数据 流 , 可 以 在 发 
现 这 种 攻击 之 前 就 抑制 这 种 攻击 。 

最 后 ,为 了 阻止 黑客 使 用 DNS 服务 器 作为 一 个 实施 这 种 DNS 放大 攻击 的 代理 ,要 加 强 
登录 系统 的 身份 认证 ,保证 只 有 授权 用 户 可 以 从 外 网 对 DNS 服务 器 执行 循环 查询 。 大 多 数 
DNS 服务 器 拥有 限制 循环 查询 的 能 力 , 可 设置 为 仅 接受 某 些 网 络 用 户 的 查询 。 

在 国外 ,很 多 互联 网 公司 非常 重视 网 站 DNS 的 安全 ,并 将 其 视 为 保障 网 站 系统 稳定 的 
最 主要 的 环节 。 但 由 于 DNS 的 管理 涉及 很 多 专门 技能 ,并 需要 网 管 人 员 根 据 网 络 安全 的 形 
势 不 断 应 付 各 种 各 样 的 潜在 漏洞 和 和 危机。 因此 .很 多 专门 从 事 DNS 外 包 管理 的 公司 应 运 而 
生 。 如 美国 亚马逊 等 很 多 电子 商务 网 站 都 选择 将 DNS 外 包 给 专门 公司 进行 管理 。 

.175 。 


6.3 超 文本 传输 协议 


超 文本 传输 协议 是 应 用 层 协议 , 它 的 规范 文件 是 RFC1945 和 RFC2616。HTTP 定义 
了 客户 向 服务 器 发 出 获取 文档 的 请 求 , 以 及 服务 器 发 回应 答 消 息 的 过 程 。 

在 图 中 介绍 了 浏览 器 访问 Web 网 站 的 过 程 。 图 6. 19 是 一 个 典型 的 客户 机 /服务 器 交 
互 的 实例 。 客 户 机 IP 地 址 是 202. 203. 44. 203 ,DNS 服务 器 的 IP 地 址 是 202. 203. 208. 33， 
Web 服务 器 的 IP 地 址 是 202. 203. 208. 36。 当 客户 浏览 器 点 击 一 个 URL 连接 后 ,浏览 器 向 
本 地 DNS 域名 服务 器 查询 URL 中 Web 服务 器 域名 www. ynu. edu. cn 对 应 的 IP 地 址 (图 
中 第 598 帧 )。 从 DNS 得 到 了 Web 服务 器 的 IP 地 址 后 (图 中 第 599 帧 ) ,客户 端 选择 一 个 
临时 端口 号 ironmail 与 该 服务 器 的 公认 端口 http 80 通过 “三 次 握手 ”建立 TCP 连接 (图 中 
第 600.601 和 602 帧 )。 然 后 HTTP 客户 端 发 出 GET 请 求 给 服务 器 (图 中 603 帧 ) 要 求 获 
取 指 定 的 网 页 。HTTP 服务 器 返回 应 答 以 及 提供 所 要 求 的 网 页 (图 中 604 帧 ) 。 


Bile Eait Wiew Go Ceaptwe Analyre Statistics Telephony Iools Help 
车 机 书包 亲 | 记 加 关 合 吕 | 允 钙 中 写 于 只 | 国 国 |QQQ 回 | 


No. .| Time | Source | Destination Protocol Info 


598 11.6 202.203.44.203 202.203.208.33 DNS standard query A www. ynu. edu. cn 
599 11.6 202.203.208.33 202.203.44.203 Standard query response A 202.20| 


600 11.6 202.203.44.203 202.203.208.36 ironmai] > http [SYN] Seq=0 Win=| 
601 11.6 202.203.208.36 202.203.44.203 ol 
602 11.6 202.203.44.203 202.203.208.36 
603 11.6 202.203.44.203 202.203.208.36 
604 11.6 202.203.208.36 202.203.44.203 


图 6.19 客户 机 浏览 器 访问 服务 器 的 过 程 


HTTP 服务 器 不 保留 任何 访问 过 它 的 客户 机 的 状态 信息 ,所 以 HTTP 是 “无 状态 协 
议 ”。 换 言 之 ,HTTP 服务 器 对 收 到 的 每 个 客户 请 求 的 处 理 都 是 独立 的 ,不 考虑 与 其 他 请 求 
的 关系 。 因 此 如 果 一 个 客户 机 多 次 发 送 同一 个 请 求 , 服 务 器 也 同样 地 多 次 重复 返回 同一 个 
响应 (换言之 ,HTTP 服务 器 不 保存 客户 的 任何 信息 )。 将 HTTP 设计 成 无 状态 协议 是 为 
了 保证 它 的 简单 性 。 这 使 得 服务 器 处 理 客户 的 请 求 可 以 很 快捷 ,每 秒 钟 可 处 理 大 量 的 客户 
请 求 。 并 且 HTTP 服务 器 的 负担 不 会 随 客户 量 的 增加 而 大 幅 上 升 。 

1. HTTP 协议 版 本 1.0 和 版 本 1.1 的 区 别 

当前 使 用 的 HTTP 协议 有 两 个 版 本 : HTTP 1.0 和 HTTP 1.1。 它们 的 主要 差别 是 : 
HTTP 1.0 版 本 客户 端 发 送 的 请 求 中 能 使 用 的 功能 较 少 ,参看 表 6. 2。 另 一 个 差别 是 ， 
HTTP 1.0 版 本 使 用 了 “不 保持 连接 (Non-persistent Connection)” 的 模式 。 服 务 器 对 客户 
的 每 个 “请 求 ” 返 回响 应 ”后 ,服务 器 就 立即 关闭 TCP 连接 。 如 果 客 户 机 多 次 向 同一 个 服务 
器 发 出 后 续 请 求 ,那么 也 要 多 次 进行 建立 和 关闭 TCP 连接 的 重复 过 程 。 从 图 5. 9 中 的 例子 
可 见 , 每 次 TCP 连接 的 建立 都 要 在 客户 机 和 服务 器 之 间 进 行 “三 次 握手 ”的 协商 ,因此 多 次 
发 送 获取 网 页 的 请 求 就 被 这 种 多 次 TCP 握手 的 协商 过 程 给 延迟 了 。 不 保持 连接 的 另 一 个 
缺点 是 ,TCP 建立 连接 时 处 理 和 存储 过 的 信息 在 服务 器 和 客户 机 中 浪费 了 。 当 前 ,HTTP 
1.0 协议 主要 用 于 发 送 广告 的 服务 器 中 ,通过 嵌入 在 Web 网 站 首页 中 的 链接 向 客户 端的 浏 
览 器 发 送 广告 和 图 片 等 。 
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HTTP 1. 1 版 本 默认 使 用 “保持 连接 (Persistent Connection)” 的 模式 。HTTP 服务 器 
在 向 客户 机 发 回 了 所 请 求 的 响应 网 页 后 ,仍然 将 与 该 客户 端 建立 的 TCP 连接 保持 一 段 时 间 
(Keep-alive)。 例 如 ,将 已 建立 的 TCP 连接 保持 100 秒 钟 ,如 果 在 此 期 间 内 客户 机 还 发 出 获 
取 另 外 网 页 的 请 求 , 则 直接 使 用 已 建立 的 TCP 连接 。 这 就 使 客户 机 可 以 通过 同一 个 TCP 
连接 发 送 多 个 请 求 ,就 避免 了 不 保持 连接 模式 的 低 效率 与 延迟 

2. HTTP 客户 的 请 求 报 文 格式 

图 6. 20 是 浏览 器 向 服务 器 发 送 的 HTTP 请 求 报 文 的 实例 。HTTP 是 应 用 层 协议 , 它 
的 报 文 被 封装 在 TCP 的 数据 段 中 ,而 TCP 数据 段 又 被 封装 在 IP 数据 包 中 ,IP eet 
在 以 太 网 数据 帧 中 传输 。 该 帧 内 的 协议 头 部 封装 顺序 为 eth: IP: TCP: HTTP。HTTP 的 
报 文 是 用 ASCII 文 本 写 的 , 读 取 和 解释 都 很 容易 。 客 户 请 求 报 文 的 第 一 行 是 请 求 行 ,后 一 
行 称 为 头 部 行 。 每 行 都 是 用 ASCII 文本 写成 ,结束 标记 为 回 车 符 后 跟随 一 个 换行 符号 。 最 
后 一 个 头 部 行 后 面 还 有 一 个 额外 的 回 车 符 和 换行 符号 。 有 些 请 求 报 文 还 在 头 部 的 后 部 分 包 
含 一 个 实体 部 分 ,用 于 向 服务 器 提供 Cookies 等 信息 


国 Internet Protocol, 5l 


国 Transmission Control En ep se nher (3566), Dst Port: hrtp C80), 
条 用 GET 方 法 请 求 Web 冰 页 协议 HTTPL IE 的 交 上 50 

Accept: image/gif, image/x-xbitmap, Tmage/jpeg, Tmage7/pjpeg, application/x-shockwa 
Accept-Language: zh-cn\r\n [客户 可 接受 的 文字 和 图 厂 格式 
UA-CPU: x86\r\n 一 
Accept-Encoding: gzip, deflate\r\n | 接受 的 文件 压缩 格式 


User-Agent: Mozi11a/4.0 (compatible; MSIE 7.0; dows ,1; .NET CLR 2.0.50727) 
Connection; Keep-Alive\r\n | 保持 连接 和 
Host: www.baidu.com\r\n 


NrNn 访问 白 度 网 址 
图 6.20 浏览 器 向 HTTP 服务 器 发 送 的 GET 请 求 的 内 容 


HTTP 客户 端的 请 求 语句 行 的 格式 为 Method URL HTTP-Version \r\n。 其 中 
Method 注 明 用 于 此 次 请 求 采 取 的 方法 ( 见 表 6. 2) 。 第 二 个 字段 用 统一 资源 定位 符 指定 需 
要 获取 的 文件 ,如 果 URL 部 分 为 空 , 则 说 明 获取 默认 首页 。 然 后 是 采用 的 HTTP 版 本 。 例 
如 ,图 6.20 的 HTTP 客户 请 求 报 文 指 出 : 采用 的 方法 是 GET, 所 需 获 取 文 件 的 URL 是 网 
站 的 默认 首页 ,浏览 器 的 型 号 为 mozilla/4.0, 访 问 的 服务 器 为 www. ynu. edu. cn, 请 服务 器 
采用 保持 连接 方式 ,以 及 发 给 服务 器 的 Cookie 等 。 

表 6.2 是 HTTP 1.1 版 本 中 客户 机 浏览 器 可 向 服务 器 发 送 的 10 种 请 求 方式 。 通 过 表 
中 列 出 的 各 种 方法 ,HTTP 客户 机 可 从 服务 器 获取 指定 的 网 页 和 程序 .提交 用 户 名 和 口令 
进行 身份 认证 、 对 服务 器 中 的 文件 进行 复制 .删除 移动 等 操作 。 这 些 方法 也 可 能 被 恶意 利 
用 来 对 服务 器 网 页 文件 进行 破坏 或 自 改 。 利 用 POST 方法 传输 未 加 密 的 用 户 名 和 口令 是 
不 安全 的 ,很 容易 从 网 络 数据 捕获 中 截获 ,因此 常 与 第 2 章 介绍 的 PAP 和 CHAP 挑战 握手 
身份 认证 协议 配合 使 用 。 见 本 章 习 题 。 

HTTP 1. 0 版 本 中 客户 机 仅 能 使 用 表 中 的 GET .POST 和 HEAD 3 种 方式 与 服务 器 交 
互 ,因此 这 3 种 方法 是 两 种 版 本 都 支持 的 。 在 后 续 几 章 的 网 络 安全 数据 分 析 实 践 中 经 常 要 
用 到 此 表 。 

3. HTTP 服务 器 的 响应 报 文 格式 

图 6.21 是 HTTP 服务 器 返回 给 客户 的 响应 报 文 的 例子 。 由 一 条 状态 行 开始 ,后 面 跟 
着 头 部 ,然后 是 内 容 ,内 容 通常 是 图 像 .HTML 网 页 文档 等 。 

。 177 。 


表 6.2 HTTP 客户 端 浏览 器 发 送 的 请 求 的 类 型 和 用 途 


请 求 方法 用 途 
向 服务 器 请 求 获取 用 URL 指定 的 资源 对 象 。 如 果 对 象 是 网 页 或 文件 ,GET 请 求 获取 

GET 其 内 容 ; 如 果 对 象 是 程序 (Program) .脚本 (Script) 或 Java 小 程序 (Applet) ,GET 请 求 获 
取 该 程序 的 运行 结果 或 脚本 的 输出 ;如 果 对 象 是 数据 库 查询 ,GET 请 求 获取 查询 结果 

HEAD 向 服务 器 获取 URL 指定 对 象 的 元 信息 ,例如 ,查询 该 对 象 最 后 的 修改 日 期 ,以 判断 本 机 
浏览 器 中 保存 的 Cookie 是 否 有 效 。 因 无 需 传送 整个 文件 ,该 方法 的 响应 速度 较 快 

POST 用 此 请 求 报 文 的 实体 部 分 发 送信 息 给 指定 的 URL ,并 获取 结果 。 例 如 ,客户 端 向 服务 器 

和 提交 浏览 器 界面 上 填写 的 用 户 名 和 口令 ,提交 客户 输入 的 表单 数据 等 

PUT 将 信息 存储 在 URL 指定 的 服务 器 中 的 位 置 

DELETE 删除 URL 指向 的 服务 器 中 的 文档 

TRACE 客户 端 跟踪 通过 代理 、 隧 道 等 模式 转发 的 HTTP 信息 

OPTIONS ”| 客户 端 向 服务 器 询问 有 关 可 用 选项 的 信息 

COBY 将 服务 器 中 的 文件 复制 到 另 一 位 置 , 源 文件 位 置 在 请 求 行 的 URL 中 给 出 ;目标 位 置 在 
实体 头 部 信息 中 给 出 

MOVE 将 服务 器 中 的 文件 移动 到 另 一 位 置 , 源 文件 位 置 在 请 求 行 的 URL 中 给 出 ;日 标 位 置 在 
实体 头 部 信息 中 给 出 

i 创建 从 一 份 文档 到 达 其 他 位 置 的 一 个 或 者 多 个 链接 ,文件 的 位 置 在 请 求 行 的 URL 中 给 


出 * 目 标 位 置 在 实体 头 部 信息 中 给 出 。 与 此 相对 的 操作 还 有 UNLINK 


Internet Protocol, Src: 119.75.213.50 C119.75.213.50), Dst: 


四 Transmission Control Protocol, Src Port: http (80), Dst Port: questlauncher (3566), 
[Reassembled TCP Segments (2558 bytes): #35(1420), #36(1138)] 源 和 目的 端口 


服务 器 响应 代码 | 


Date: Wed, 30 Jun 2010 07:26:07 GMT\r\n 


当前 格林 威 治 时 间 
Server: BWS/1.0\r\n 


国 Content-Length: 2171NrNn [内 容 长 度 | > 
Content-Type: text/html; chiarset=562312\r\n [内 容 类 型 
Cache-Contro1: private\r\n 万 
Expires: Wed, 30 Jun 2010 07:26:07 GMT\r\n 内 容 失效 日 期 
content-Encoding; gzip\r\n [内容 压缩 格式 给 客户 中 设 置 cookic 和 指定 百度 四 可 

D569607073BDBFE: 


Set-Cookie: BAIDUID=E26EC8A. F7:FG=1; expires=wed, 30-Jun-40 


图 6.21 HTTP 服务 器 向 客户 端 浏 览 器 返回 的 响应 内 容 


响应 状态 行 的 格式 为 HTTP-Version Status-Code Message \r \n , 即 HTTP- 版 本 , 状 
态 码 报 文 \r\n。 服 务 器 的 响应 状态 码 是 一 个 3 位 数 , 它 返 回 对 客户 请 求 的 处 理 结果 ,含义 见 


表 6.3。 常 见 的 状态 行 是 : 


表 6.3 HTTP 服务 器 返回 给 客户 端的 响应 状态 码 的 含义 
E 文 短语 含义 


100 | Gone 初始 请 求 已 被 接收 ,客户 端 可 继续 发 送 新 的 请 求 

101 | Switching 服务 器 正 执行 客户 请 求 ,交换 定义 在 刷新 头 部 的 协议 
200 | OK 请 求 成 功 

201 | Geaied 创建 新 的 URL 
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请 求 被 接受 ,但 不 会 立刻 得 到 处 理 


Accepted 


状 态 码 正文 短语 含 党 
204 No content 实体 中 没有 内 容 
301 Moved permanently 所 请 求 的 URL 不 再 被 服务 器 使 用 
302 Moved temporarily 所 请 求 的 URL 暂时 被 移动 了 
304 Not modified 文档 未 被 修改 
400 Bad request 请 求 中 含有 语法 错误 
401 Unauthorized 请 求 缺 少 适当 授权 
403 Forbidden 拒绝 服务 
404 Not found 文档 找 不 到 
405 Method not allowed 不 支持 该 URL 下 的 请 求 方法 
406 Not acceptable 不 接受 请 求 的 格式 
500 Internal server error 服务 器 出 错 
501 Not implemented 请 求 不 能 被 实现 
503 Service unavailable 服务 暂时 不 可 用 ,可 在 以 后 响应 该 服务 


(1) HTTP/1.0 200 OK: 请 求 成 功 接 受 。 

(2) HTTP/1.1 301 Moved Permanently: 要 获取 的 文件 永久 地 被 移 除 了 。 

(3) HTTP/1.1 400 Bad Request: 请 求 方式 不 对 。 

(4) HTTP/1. 1 500 Internal Server Error: 服务 器 内 部 错误 。 

响应 状态 码 : 用 在 服务 器 的 响应 报 文中 , 它 的 作用 与 FTP 和 SMTP 协议 的 状态 码 相 
同 。 例 如 ,100 序列 的 码 表示 信息 通报 ,200 序列 的 码 表示 请 求 获得 成 功 ,300 序列 的 码 表示 
将 客户 的 请 求 转 到 另 一 个 URL 地 址 ,400 序列 的 码 表示 在 客户 端 产生 了 错误 ,500 序列 的 
码 表示 在 服务 器 端 有 错误 ,如 表 6. 3 所 示 。 

服务 器 给 客户 响应 的 头 部 提供 了 将 要 传送 给 客户 机 的 对 象 的 信息 。 头 部 行 用 来 指明 ， 
服务 器 类 型 ,HTTP 响应 的 准备 和 发 出 日 期 和 时 间 , 以 及 所 需求 目标 文件 的 建立 和 最 后 修 
改 的 日 期 和 时 间 。Contentlength, 内 容 - 长 度 , 目 标 文档 的 类 型 和 编码 方法 。 所 有 这 些 头 部 
行 都 可 在 图 6. 21 的 例子 中 看 到 。 响 应 头 部 的 结尾 是 一 个 空 行 ,后 面 也 可 能 跟随 着 携带 内 容 
的 实体 部 分 。 

在 图 6. 22 的 例子 中 , HTTP 客户 要 求 使 用 GET 方法 获取 服务 器 中 一 张 存放 路 径 为 
/usr/imagel 的 图 片 。 请 求 行 描述 了 方法 为 GET、URL 和 HTTP 版 本 1.1。 请 求 头 部 有 两 
行 , 说 明 客 户 端 可 接受 的 图 像 格 式 为 GIF 和 JPEG。 请 求 报 文中 没有 主体 。 服 务 器 的 响应 
报 文中 包含 状态 行 和 4 个 头 部 行 。 头 部 行 中 定义 了 日 期 \ 服 务 器 名 、MIME 版 本 1.0 和 文档 
的 长 度 。 文 档 主 体位 于 头 部 之 后 。 

在 图 6. 23 的 例子 中 ,客户 机 使 用 POST 的 方法 将 自己 的 用 户 名 和 口令 发 送 给 服务 器 ， 
请 求 进行 身份 认证 等 。 请 求 行 中 注 明 了 使 用 方法 为 POST、URL 地 址 HTTP 版 本 1. 1。 
头 部 有 4 行 。 请 求 报 文 的 主体 是 要 传输 的 数据 信息 。 服 务 器 的 响应 报 文中 包含 状态 行 和 头 

和 


2S 


HTTP 客 户 机 


请 求 获取 一 张 


图 片 
请 求 报 文 


HTTP 
服务 器 


GET/ user/ image 1 HTTP/1.1 
Accept: Image /gif 
Accept: Image/ jpeg 


响应 报 文 


Y 


HTTP/1.1 200 OK 

Data: Mon. 08-feb-07 13:15:14 GMT 
Server: Sun 

MIME-version: 1.0 

Content-length: 2048 

( 报 文 主体 ) 


图 6.22 HTTP 客户 请 求 获取 服务 器 中 的 一 张 图 片 


部 的 4 行 。 服务 器 提供 的 文件 类 型 是 MIME( 多 功能 互联 网 邮件 扩展 ), 放 在 响应 报 文 的 主 


体 中 。 


图 6.23 


HTTP 客 户 机 
发 送 数据 给 服务 器 
入》 请 求 报 文 POST) 


HTTP 
服务 器 


Ey 


POST / cgi-bin/ doc. Pl HTTP/ 1.1 
Accept: */* 

Accept: Image/gif 
Content-length: 50 

(输入 信息 ) 


响应 报 文 


HTTP/1.1 200 OK 

Data: Mon. 08-Feb-07 13:15:14 GMT 
Server: Sun 

MIME-version: 1.0 

Content-length: 2000 

( 报 文 主体 CGI 文档 ) 


4. HTTP Proxy 代理 服务 器 和 高 速 缓存 器 

由 于 Web 浏览 器 采用 了 简明 易 懂 的 图 形 操作 界面 ,使 得 用 户 访问 互联 网 十 分 便捷 。 至 
今 为 止 互联 网 上 传输 的 数据 流量 的 最 大 部 分 是 Web 服务 。 当 对 某 些 著名 网 站 的 信息 访问 
量 太 大 时 ,一 般 将 Web 信息 存 到 离 用 户 较 近 的 镜像 服务 器 上 。 分 布 在 不 同 网 络 内 的 镜像 服 
务 器 负责 对 本 网 络 内 客户 的 HTTP 请 求 进行 应 答 ,这 就 减少 了 对 主 服务 器 的 信息 访问 流量 
的 压力 。 例 如 ,教育 网 内 的 用 户 访问 www. cctv. com 网 站 时 ,由 本 地 DNS 向 用 户 浏览 器 返 
回 的 是 该 网 站 置 于 教育 网 的 代理 服务 器 的 IP 地 址 ,这 样 就 减轻 了 对 主 服务 器 的 流量 压力 。 
关于 代理 服务 器 的 分 类 与 功能 , 详 见 第 9 章 的 介绍 。 

Web 代理 服务 器 用 于 对 主 网 站 的 信息 提供 中 继 和 缓存 。 通 常 , 代 理 服务 器 可 由 互联 网 
服务 提供 商 设 立 ,减少 对 主 服务 器 Web 网 页 响应 的 延迟 ,以 及 分 散 互联 网 的 信息 流量 。 通 
过 对 DNS 服务 器 的 数据 库 进 行 配置 , 当 收 到 一 个 用 户 请 求 对 热点 Web 服务 器 的 域名 解析 
时 ,DNS 首先 提供 给 用 户 的 是 与 其 同 网 或 最 近 的 代理 服务 器 的 IP 地 址 。 客 户 获 取 网 页 的 
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HTTP 客户 向 服务 器 发 送 用 户 名 和 口令 进行 身份 认证 


请 求 发 给 代理 服务 器 后 ,如 果 存 有 所 需 文 档 , 就 给 客户 发 回 HTTP 应 答 。 如 果 没 有 此 文档 ， 
代理 服务 器 就 与 目标 URL 建立 一 个 TCP 连接 并 取 到 所 需 文 档 , 然 后 将 此 文档 以 适当 的 响 
应 方式 发 送 给 客户 ,同时 将 此 文档 的 副本 存储 在 缓存 中 ,以 备 对 其 他 客户 同样 的 请 求 进行 
响应 。 

HTTP 的 重要 特征 之 一 就 是 高 速 缓 存 技术 。 大 多 数 情 况 下 ,客户 端的 请 求 和 服务 器 的 
响应 在 某 个 限定 的 时 间 段 内 可 以 被 保存 在 一 个 缓存 器 中 ,以 便 处 理 将 来 的 相同 请 求 。 如 果 
响应 报 文 过 期 ,这 意味 着 报 文 内 的 数据 可 能 发 生 了 变化 ,为 了 确认 数据 是 否 被 改变 ,可 定义 
两 种 机 制 ; 

(1) 过 期 机 制 : 在 源 服务 器 发 出 的 响应 报 文 中 定义 了 网 页 的 失效 时 间 , 见 图 6. 21。 绥 
eaten 
算 一 个 合理 的 过 期 时 间 。 

(2) 验证 机 制 : 超过 失效 时 间 ,数据 面临 失效 ,这 时 必须 检查 源 服 务 器 确定 响应 报 文 是 
否 仍然 可 用 。 

5. 利用 HTTP 协议 的 漏洞 对 Web 服务 器 的 远程 攻击 

利用 HTTP 协 议 的 漏洞 对 Web 服务 器 进行 的 远程 网 络 攻击 方式 有 : HTTP 协议 
Accept-Language 字段 超 长 缓冲 区 溢出 攻击 ;HTTP 协议 Cookie 字段 超 长 缓冲 区 溢出 攻 
击 ;HTTP 协议 URL 字段 超 长 缓冲 区 溢出 攻击 ;Web 服务 远程 跨 站 脚本 执行 攻击 ; Web 服 
务 远程 SQL 注入 攻击 ;通过 Web 服务 访问 password. txt 文件 获取 数据 信息 ;HTTP 服务 
基本 登录 认证 :网络 怜 虫 抓 取 网 页 信息 ,等 等 。 


6.4 ”Cookie 及 其 安全 应 用 


万 维 网 工作 于 “无 状态 (stateless)” 的 方式 ,例如 ,HTTP 客户 端 发 送 请 求 ,而 服务 器 给 
出 回应 后 ,它们 之 间 的 关系 就 结束 了 ,服务 器 中 并 不 保存 客户 机 的 信息 。 对 于 早期 的 仅 用 于 
访问 和 浏览 公开 文件 的 Web 应 用 ,这 已 经 足够 了 。 但 是 ,如 今 的 Web 网 站 类 型 有 了 如 下 的 
一 些 新 的 应 用 扩展 : 

第 1 类 网 站 : 只 允许 注册 的 用 户 访问 。 

第 2 类 网 站 : 电子 商务 网 站 ,允许 顾客 在 网 页 上 浏览 网 络 商 店 中 的 商品 图 片 ,选择 需要 
购买 的 商品 ,把 它们 放 入 网 页 上 的 “购物 车 ”, 然 后 输入 信用 卡 账号 和 密码 付费 。 网 站 运营 商 
再 将 商品 运送 给 客户 。 关 于 安全 电子 商务 SET 参看 第 11 章 。 

第 3 类 网 站 : 只 是 一 个 门户 网 站 的 首页 ,客户 点 击 首页 上 的 超 链接 继续 选择 自己 想 浏 
览 的 网 页 。 

第 4 类 网 站 : 纯粹 发 送 广告 的 专用 服务 器 ,一 般 将 广告 随同 Web 首页 发 到 客户 浏览 
器 上 。 

Cookie 就 是 为 了 满足 这 些 网 站 的 扩展 应 用 而 开发 的 ,可 以 让 客户 端 与 Web 网 站 的 会 
话 进 程 中 ,使 用 和 参考 客户 端 过 去 的 需求 等 。Cookie 由 服务 器 产生 并 发 给 客户 保存 在 自己 
的 浏览 器 中 ,在 下 次 访问 时 取出 并 返回 给 原 服务 器 , 它 附 加 在 HTTP 报 文 的 头 部 行进 行 传 
输 , 其 中 提供 了 上 次 HTTP 交互 的 相关 信息 。 

图 6.21 中 包含 了 百度 网 站 给 客户 端 返回 的 一 个 Cookie。 当 一 个 客户 首次 访问 一 个 使 
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用 Cookie 的 Web 服务 器 时 ,服务 器 的 应 答 报 文中 包含 了 一 个 “设置 Cookie 小 程序 ”的 头 部 
行 。 此 头 部 行 中 包含 了 给 该 客户 指定 的 ID 标识 ,客户 浏览 器 将 此 Cookie 添加 到 浏览 器 的 
Temporary Internet Files 文件 夹 中 。 每 次 客户 向 此 网 站 发 送 请 求 时 ,在 请 求 中 附 上 有 此 
ID 标识 的 Cookie, 服 务 器 就 知道 了 该 客户 在 某 天 、 某 个 时 间 访 问 过 某 个 网 页 ,有 哪些 图 片 等 
已 经 保存 在 客户 端 ,不 需 重复 发 送 。 这 样 服务 器 就 能 根据 该 用 户 的 历史 记录 发 回 对 HTTP 
请 求 的 响应 。Cookie 使 得 一 个 网 站 可 保持 跟踪 一 个 客户 在 网 上 购物 进程 中 的 购物 车 中 的 
选 购 商品 记录 ,还 有 其 他 的 长 期 信息 如 地 址 和 信用 卡 等 隐私 信息 。 

Cookies 是 客户 间接 地 向 服务 器 表明 自己 与 其 交往 历史 的 一 种 方法 ,对 于 提高 Web 访 
问 效率 是 有 好 处 的 ,但 是 带 来 的 问题 是 如 何 保护 用 户 的 安全 和 隐私 ,以 及 防止 利用 它 传 播 森 
马 等 恶意 程序 。 

1.， Cookie 的 结构 

一 个 Cookie 包含 最 多 5 个 域 。 域 名 域 (domain) 指 出 该 Cookie 来 自 何 处 ,在 每 个 客户 
端 可 以 存储 同一 个 域名 的 不 超过 20 个 的 Cookie。 路 径 域 (path) 指 明 服务 器 目录 中 的 一 个 
路 径 , 标 识 文件 目录 的 哪些 部 分 可 能 会 使 用 此 Cookie, 通 常 路 径 */” 表 示 全 目录 可 使 用 。 内 
容 域 (Content) 用 来 存放 Cookie 内 容 。 失 效 时 间 (Expires) 指 定 Cookie 的 过 期 时 间 , 若 该 域 
不 存在 , 则 浏览 器 在 退出 时 将 该 Cookie 丢弃 , 称 为 非 持久 的 Cookie, 和 否则 叫 持久 Cookie。 
安全 域 (Secure) 可 以 告诉 浏览 器 只 向 安全 的 服务 器 访问 时 才 返 回 该 Cookie。 

Cookie 的 简单 例子 : ynu. edu /User ID 二 3658974 15-10-07 19:30 Yes。 表 示 此 Cookie 
来 自 服务 器 ynu. edu, 它 给 该 用 户 指定 的 ID 号 为 3658974。 当 同一 用 户 再 次 访问 此 服务 器 
时 ,将 此 Cookie 传 给 服务 器 。 服 务 器 可 以 在 数据 库 中 查找 其 曾经 登录 的 记录 ,并 利用 这 些 
信息 创建 一 个 适 于 该 用 户 的 Web 页 面 。 这 个 Cookie 的 失效 时 间 是 2007 年 10 月 15 日 
19 时 30 分 。 

2. Cookie 的 产生 和 存储 

Cookie 的 产生 和 存储 根据 实施 过 程 的 要 求 略 有 不 同 ,主要 步骤 如 下 

(1) 当 服 务 器 收 到 一 个 客户 的 请 求 后 ,服务 器 就 将 客户 的 信息 存储 在 一 个 文件 或 一 个 
字 串 上 。 这 些 客户 信息 包括 客户 的 域名 .客户 的 Cookie( 内 含 客户 姓名 ,注册 码 等 ) 一 个 时 
间 戳 ,以 及 其 他 附加 信息 。 

(2) 服务 器 将 该 客户 的 Cookie 放 在 响应 中 发 给 客户 。 

(3) 客户 收 到 响应 后 ,浏览 器 就 将 收 到 的 Cookie 存放 到 自己 的 Internet 临时 文件 夹 的 
Cookie 目录 中 的 该 服务 器 名 下 。 

(4) Cookie 的 保存 和 恢复 方法 。 在 微软 的 正 浏览 器 中 可 以 用 导入 和 导出 功能 ,步骤 如 
下 : @ 单 击 正 浏 览 器 的 “工具 ”一 “Internet 选项 "菜单 。@ 选 择 “ 导 入 ?选项 ,然后 直接 按 要 
求 操作 即 可 。 

3. Cookie 的 应 用 

当 客 户 机 发 送 一 个 请 求 给 服务 器 时 ,浏览 器 先 查看 自己 的 Cookie 目录 中 能 否 找 到 该 服 
务 器 曾经 发 来 的 Cookie。 如 果 找 到 了 ,客户 机 就 将 此 Cookie 和 请 求 一 起 发 给 服务 器 。 当 服 
务 器 收 到 请 求 ,就 知道 这 是 一 个 老 客 户 ,不 是 新 客户 。 注 意 , 客 户 机 的 浏览 器 不 能 阅读 和 泄 
漏 Cookie 中 的 内 容 给 用 户 ,Cookie 的 产生 和 阅读 都 是 服务 器 自己 的 事 。 下 面 介 绍 Cookie 
在 上 述 4 类 Web 网 站 的 应 用 : 
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第 1 类 网 站 : 只 允许 注册 用 户 访问 。 当 用 户 第 一 次 注册 时 ,服务 器 只 发 送 一 个 Cookie 
给 客户 。 在 客户 以 后 对 该 服务 器 的 访问 中 ,服务 器 根据 收 到 的 Cookie 是 否 有 效 , 来 决定 是 
否 允 许 该 客户 的 访问 。 

第 2 类 网 站 : 电子 商务 网 站 。 当 一 个 顾客 浏览 网 络 商 店 时 ,他 选择 了 一 件 商品 ,并 将 其 
放 入 网 页 上 的 购物 车 ,服务 器 就 发 送 一 个 包含 该 商品 信息 的 Cookie 给 客户 机 的 浏览 器 ,其 
中 包含 该 商品 的 选 购 数量 ,单价 等 信息 。 如 果 客 户 再 选择 第 2 件 商品 ,Cookie 就 更 新 加 入 
第 2 件 商品 的 信息 ,等 等 。 当 客户 机 结束 选 购 , 要 付款 结账 ,最 后 一 个 Cookie 就 计算 出 总 的 
购物 费用 。 关 于 安全 电子 商务 参看 第 11 章 。 

第 3 类 网 站 : 门户 网 站 。 当 一 个 用 户 经 常 浏览 一 个 喜欢 的 网 站 ,服务 器 就 产生 一 个 
Cookie 发 给 客户 。 当 客户 再 次 访问 该 网 站 时 ,服务 器 根据 收 到 的 Cookie 就 知道 客户 的 要 
求 与 特征 了 。 

第 4 类 网 站 : 广告 网 站 对 Cookie 的 利用 。 广 告 商 放 置 一 个 商品 广告 的 图 标 (banner) 在 
点 击 率 较 高 的 网 站 主页 上 。 广 告 图 标 只 提供 广告 图 片 的 URL 地 址 而 不 是 广告 本 身 。 当 客 
户 浏览 主 网 站 时 ,就 自动 链接 了 广告 公司 放置 的 图 标 ,浏览 器 就 发 送 一 个 请 求 到 广告 服务 器 
上 。 广 告 服务 器 就 向 客户 发 送 该 广告 图 片 (例如 ,一 个 GIF 图 形 文件 等 ) ,其 中 附带 了 一 个 
含有 客户 ID 信息 的 Cookie。 以 后 这 个 图 标 被 客户 每 点 击 一 次 ,就 在 记录 客户 Web 行为 的 
数据 块 中 增加 一 个 记录 。 广 告 商 在 服务 器 端 将 客户 的 兴趣 或 Web 行为 进行 汇编 和 整理 , 然 
后 将 客户 的 这 些 信 息 出 售 给 任何 第 3 方 。 这 种 利用 Cookie 来 收集 客户 信息 的 行为 是 否 合 
法 ,是 很 受 争议 的 ,应 当 制 订 新 的 法 规 来 保护 客户 的 隐私 。 

4. Cookie 的 安全 问题 及 其 防护 

Cookie 在 Web 应 用 方面 为 访问 者 和 编程 者 都 提供 了 很 大 的 方便 ,可 以 提高 Web 浏览 
的 速度 ,然而 从 安全 方面 考虑 是 有 问题 的 。 首 先 ,Cookie 被 包含 在 HTTP 请 求 和 响应 的 包 
头 里 明文 传递 ,利用 Wireshark 等 网 络 协 议 分 析 软 件 就 可 以 捕获 与 读 出 这 些 数据 。 其 次 ， 
Cookie 数据 以 Cookie 文件 格式 存储 在 浏览 器 的 互联 网 临时 文件 夹 中 ,或 cache 目录 里 ,其 
中 就 包含 有 关 网 页 ,密码 和 用 户 上 网 行为 记录 等 信息 ,只 要 进入 硬盘 就 能 打开 Cookie 文件 。 

攻击 网 站 行为 中 ,黑客 可 利用 浏览 器 向 目标 服务 器 发 送 HTTP 协议 Cookie 字段 超 长 
缓冲 区 溢出 攻击 。 

查看 浏览 器 中 保存 Cookie 的 方法 : 打开 IE 浏览 器 ,选择 “工具 ”菜单 里 的 “Internet 选 
项 ”命令 ,然后 在 弹出 的 对 话 框 里 单 击 “ 设 置 " 按 钮 ,在 设置 对 话 框 里 单 击 “ 查 看 文件 ”按钮 ,就 
会 打开 一 个 浏览 器 窗口 ,显示 放 在 临时 互联 网 文件 夹 中 的 Cookie。 例 如 ,C:\Documents 
and Settings\He\Local Settings\Temporary Internet Files, 可 以 查看 其 中 是 否 含有 记录 了 
用 户 信息 的 Cookie 文件 ,以 及 这 些 Cookie 的 收 件 人 地 址 ,Cookie 的 有 效 日 期 等 信息 。 

由 于 Cookie 的 应 用 可 能 引发 个 人 隐私 的 泄漏 和 黑客 入侵 等 安全 隐患 ,在 微软 的 浏览 器 
IE 6.0 中 提供 了 关于 Cookie 的 安全 设置 。IE 浏览 器 中 关于 Cookie 的 设置 分 为 两 个 部 分 : 
标准 隐私 策略 和 高 级 隐私 策略 。 详 细 介 绍 和 设置 可 参看 IE 浏览 器 的 “Internet 选项 ”中 的 
“隐私 ”设置 。 

IE 6.0 浏览 器 可 让 用 户 对 Cookie 进行 下 述 6 个 等 级 的 隐私 安全 设置 : 

(1) 接受 所 有 的 Cookie: 所 有 的 Cookie 都 将 存 人 本 机 浏览 器 ,都 可 以 被 创建 它们 的 网 
站 读 取 。 
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(2) 低 : 限制 没有 合同 隐私 策略 的 第 三 方 Cookie, 以 及 限制 使 用 个 人 的 标识 信息 ,并且 
没有 本 用 户 的 隐 含 许可 的 第 三 方 Cookie。 

(3) 中 : 阻止 没有 合同 隐私 策略 的 第 三 方 Cookie; 阻 止 使 用 个 人 的 标识 信息 而 没有 本 
用 户 的 隐 含 许可 的 第 三 方 Cookie; 限制 使 用 个 人 的 标识 信息 而 没有 隐 含 许可 的 第 一 方 
Cookie。 

(4) 中 高 : 阻止 没有 合同 隐私 策略 的 第 三 方 Cookie; 阻 止 使 用 个 人 可 标识 信息 而 没有 
本 用 户 的 明确 许可 的 第 三 方 Cookie。 

(5) 高 : 阻止 没有 合同 隐私 的 Cookie; 阻 止 使 用 个 人 的 标识 信息 而 没有 本 用 户 的 明确 
许可 的 Cookie。 

(6) 阻止 所 有 Cookie: 来 自 所 有 网 站 的 Cookie 都 将 被 阻止 ;本 用 户 的 计算 机 上 已 有 的 
Cookie 不 能 被 浏览 器 发 送出 去 。 如 果 在 浏览 器 的 互联 网 选项 中 禁止 了 Cookie 文件 的 话 ， 
有 些 网 站 将 无 法 访问 ,或 访问 速度 下 降 ,特别 是 有 些 论坛 需要 Cookie 的 支持 。 

目前 一 些 大 型 正规 的 网 站 一 般 都 有 "隐私 首选 项 平台 (P3P) 隐 私 策略 ”, 它 告诉 用 户 ,网 
站 通过 放置 的 Cookie, 收 集 了 用 户 的 资料 ,以 及 这 些 资 料 的 用 途 等 。 那 么 用 户 就 可 以 把 该 
网 站 的 隐私 策略 和 用 户 的 隐私 设置 相 比较 ,来 决定 是 否 让 该 网 站 在 自己 的 计算 机 中 放置 


Cookie。 
6.5 文件 传输 协议 及 其 安全 


文件 传输 协议 (File Transfer Protocol, FTP) 是 一 个 常用 的 应 用 层 协议 。FTP 提供 在 
计算 机 之 间 直 接 高 效 地 传输 文件 。FTP 可 运行 于 不 同 操 作 系 统 和 文件 结构 的 不 同 主机 上 。 
FTP 需要 客户 机 与 服务 器 之 间 建 立 两 个 TCP 连接 来 传输 文件 。 其 中 一 个 是 建立 在 服 
务 器 端口 21 的 控制 连接 , 另 一 个 是 用 于 文件 传输 的 数据 连接 。 每 次 文件 传输 都 必须 建立 数 
据 连 接 。 数 据 连接 用 于 双方 之 间 传 输 文件 ,或 者 从 服务 器 发 送 文件 清单 和 目录 到 客户 机 。 


图 6.24 说 明了 两 个 连接 在 FTP 中 的 作用 。 
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| > 
用 户 


端口 临时 ! 
20 口 | | 用 户 数 据 
六 传输 进程 


端口 临时 
21 端口 


控制 连接 
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文件 库 。 FTP 文件 传输 服务 器 FTP 客 户 
图 6.24 使 用 FTP 协议 传输 文件 


用 户 文件 库 


客户 先 利 用 Telnet 协议 向 服务 器 的 端口 21 建立 FTP 的 控制 连接 ,用 于 交换 FTP 指令 
和 回应 。 用 户 协 议 解释 器 负责 发 送 FTP 指令 和 解释 来 自 对 方 的 回应 。 服 务 器 的 协议 解释 
器 负责 解释 指令 ,发送 回 应 .引导 服务 器 数据 传输 进程 ,以 便 建立 另 一 个 数据 连接 和 传输 数 
据 。 这 些 指令 被 用 于 定义 数据 连接 ,以 及 要 获取 的 指定 文件 系统 的 信息 。 
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数据 连接 是 为 了 响应 来 自用 户 的 对 某 个 文件 操作 的 请 求 而 建立 。FTP 客户 机 与 服务 
器 的 控制 端口 21 建立 了 控制 连接 后 ,服务 器 生成 一 个 用 于 数据 连接 的 被 动 开放 (Passive 
Open) 端 口 ,并 通过 控制 连接 通道 将 此 端口 号 告诉 客户 端 。 客 户 端 就 选择 自己 的 另 一 个 临 
时 端口 号 ,通过 TCP 的 三 次 握手 与 服务 器 的 此 被 动 开放 端口 建立 数据 传输 通道 的 连接 。 早 
期 的 FTP 服务 器 使 用 公认 端口 20 作为 数据 连接 ,目前 则 选择 使 用 多 个 大 于 1024 的 临时 端 
口 ,这 种 方式 的 优点 是 双方 可 同时 建立 多 个 数据 传输 通道 ,多 线程 地 加 快 数据 传输 。 

数据 连接 通道 可 用 于 双向 同时 发 送 和 接收 数据 。 并 且 客 户 机 也 可 与 两 台 非 本 地 的 计算 
机 之 间 启 动 文件 传输 ,例如 同时 与 两 台 服 务 器 进行 文件 传输 。 在 这 种 情况 下 ,客户 机 与 两 台 
服务 器 之 间 都 有 控制 连接 ,但 是 只 能 与 两 台 服 务 器 之 一 建立 数据 连接 。 

在 FTP 应 用 中 ,虽然 由 服务 器 执行 文件 传输 ,但 是 关闭 控制 连接 的 请 求 由 客户 机 负责 
提出 。 如 果 在 数据 连接 仍然 打开 时 ,控制 连接 被 关闭 了 ,那么 服务 器 就 中 止 数 据 的 传输 。 数 
据 连接 通道 通常 由 服务 器 来 关闭 。 主 要 的 例外 是 , 当 客 户 机 的 数据 传输 进程 关闭 了 数据 连 
接 , 以 标明 在 一 个 数据 流传 输 中 文件 的 结束 。 

FTP 文件 传输 协议 并 不 能 检测 传输 数据 的 丢失 或 乱码 ,传输 错误 检测 的 功能 由 传输 层 
的 TCP 执行 。 

FTP 可 跨 不 同 操作 系统 平台 工作 ,因为 它 可 适应 几 个 不 同 的 文件 类 型 和 结构 。FTP 的 
命令 用 于 说 明文 件 的 相关 信息 和 文件 传输 的 方式 。 通 常 必须 定义 以 下 三 类 信息 。 

(1) 文件 类 型 : FTP 支持 ASCII.EBCDIC 图 像 ( 二 进 制 数据 ) 或 者 本 地 文件 。 本 地 文 
件 定义 了 要 传输 的 数据 应 按 逻辑 字 节 传输 ,其 中 文件 的 大 小 由 独立 的 参数 说 明 。ASCII 是 
默认 类 型 。 如 果 文 件 是 ASCII 或 EBCDIC ,那么 类 型 中 还 需 说 明 垂直 格式 控制 参数 。 

(2) 数据 结构 : FTP 支持 文件 结构 ( 即 无 内 部 结构 的 连续 字 节 流 ) ,记录 结构 ( 即 与 文本 
文件 配合 使 用 ) 和 页 面 结 构 ( 即 文件 由 独立 的 索引 页 构成 )。 默 认 设置 是 文件 结构 。 

(3) 传输 模式 : FTP 支持 流 (Stream) 、 块 (Block) 和 压缩 CCompassed) 模 式 的 传输 。 如 
果 传 输 的 是 流 模 式 , 则 用 户 用 关闭 连接 作为 文件 结构 的 数据 表示 该 文件 的 结束 。 如 果 数 据 
是 块 结构 , 则 用 一 个 特殊 的 2 字 节 序列 来 表示 记录 的 结束 和 文件 的 结束 。 默 认 设置 为 流 

一 个 FTP 命令 由 3 或 4 个 字 节 的 大 写 ASCII 字符 构成 ,如 果 有 其 他 参数 跟随 , 则 用 一 
个 空格 分 隔 ,或 者 由 一 个 Telnet 的 可 选项 列表 终结 来 分 开 。 

FTP 命令 分 为 三 类 : 访问 控制 标识 、 数 据 传输 参数 和 FTP 服务 请 求 。 表 6. 4 列 出 常用 
的 FTP 命令 。 


表 6.4 常用 的 FTP 命令 


ABOR 终止 前 一 个 FTP 命令 和 所 有 文件 传输 
LIST 列 出 文件 和 目录 

QUIT 与 服务 器 断 开 连 接 ,注销 

RETR filename 获取 指定 的 文件 

STOR filename 存储 指定 的 文件 
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每 个 指令 必须 产生 至 少 一 个 FTP 应 答 ,这 个 应 答 用 于 同步 请 求 、 操 作 , 并 使 客户 机 时 刻 
知道 服务 器 的 工作 状态 。 应 答 信息 由 一 个 3 个 字 的 数 构成 (以 字母 和 数字 来 表示 ) ,后 面 跟 
着 一 些 文本 。 数 值 码 通常 是 用 户 的 PI、 文 本 ,如 果 通 过 处 理 , 则 为 用 户 。 例 如 ,在 成 功 连接 
和 运行 结束 的 终止 请 求 后 面 ,发 出 的 应 答 为 *221 Goodbye”。 首 位 数字 指明 是 否 或 者 以 各 
种 程度 结束 具体 的 请 求 。 第 2 位 数字 指明 应 答 的 类 型 。 第 3 位 数字 是 特定 类 别 的 附加 信 
息 。 表 6.5 给 出 了 前 面 2 位 数字 的 可 取 值 和 相应 的 含义 。 

表 6.5 FTP 回应 中 首位 和 第 2 位 数 的 含义 
回 应 会 义 

lyz 肯定 的 初步 应 答 (命令 开始 执行 了 ,但 在 发 送 新 命令 前 等 待 男 一 应 答 信息 ) 

2yz 肯定 的 完成 应 答 ( 命 令 成 功 完成 ,可 发 送 新 命令 ) 

3yz ”| 肯定 的 中 途 应 管 (命令 被 接受 , 但 运行 命令 需要 附加 信息 ,用户 需 发 送 命令 ,并 包含 所 需 信息 ) 

4yz ”| 暂时 未 完成 应 答 ( 目 前 不 能 运行 命令 , 稍 后 重 发 指令 ) 

5yz 永久 未 完成 应 答 (不 能 运行 命令 ,无须 重 发 ) 

X0z “| 句法 错误 

Xlz “| 信息 (对 状态 或 帮助 请 求 的 响应 ) 

X2z “| 连接 (对 于 控制 和 数据 连接 的 回应 ) 

X3z 认证 和 账号 (对 登录 过 程 和 账号 处 理 的 回应 ) 

X4z 未 定义 

X5z “| 文件 系统 状态 


在 goodbye 报 文 实例 中 ,首位 数字 2 说 明成 功 完 成 。 第 2 位 数字 也 是 2, 说 明 此 应 答 与 
一 个 连接 请 求 相 关 。 


6.5.1 FTP 工作 过 程 举例 


FTP 的 工作 过 程 包括 控制 连接 和 数据 连接 两 方面 。 控 制 连接 在 整个 FTP 处 理 过 程 中 
始终 保持 开启 状态 ,客户 端 输入 命令 后 ,服务 器 端的 响应 延迟 应 该 是 最 小 的 。FTP 使 用 
ASCII 字符 集 进 行 控 制 连接 的 通信 , 即 客户 端 发 出 一 个 简短 的 命令 ,服务 器 端 回 送 一 个 简短 
的 响应 。 一 个 FTP 命令 由 3 或 4 个 字 节 的 大 写 ASCII 字符 构成 ,如 果 有 其 他 参数 跟随 , 则 

一 个 空格 分 隔 , 或 者 由 一 个 Telnet 的 可 选项 列表 终结 来 分 开 。 正 如 前 述 ,FTP 命令 有 三 
类 : 访问 控制 标识 .数据 传输 参数 和 FTP 服务 请 求 。 

数据 连接 只 有 当 数 据 准备 传输 时 才 会 开启 .不 需要 时 , 则 会 关闭 .数据 连接 要 求 数据 传 
输 的 吞吐 量 应 该 是 最 大 的 。 文 件 传输 通过 数据 连接 进行 。 客 户 端 定义 了 文件 类 型 .数据 结 
构 和 传输 方式 ,解决 操作 系统 .文件 系统 等 的 异 构 问 题 。 

FTP 能 够 通过 数据 连接 传送 ASCII 码 文件 (默认 格式 )、EBCDIC 码 文件 和 图 像 文件 
(二 进 制 文件 )。 此 外 ,传送 ASCII 码 和 EBCDIC 码 文件 时 必须 增加 一 个 TELNET 属性 ,这 
些 文件 才能 被 打印 出 来 。 

FTP 使 用 文件 结构 (File) .记录 结构 (Record) 和 页 结构 (Page) 作为 传输 文件 的 数据 结 
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构 。 文 件 结构 是 默认 数据 结构 ,该 类 文件 没有 结构 ,是 连续 的 字 节 流 。 记 录 结 构 只 能 用 于 文 
本 文件 。 在 页 结构 中 ,文件 被 划分 为 页 ,可 随机 或 顺序 地 进行 存储 或 访问 。 

FTP 使 用 流 方式 (Stream) , 块 方式 (Block) 和 压缩 方式 (Compassed) 作 为 传输 方式 。 流 
方式 是 默认 传输 方式 ,FTP 以 连续 字 节 流 将 数据 传递 给 TCP,TCP 将 数据 切割 为 合适 大 小 
的 数据 段 , 流 方式 在 传输 数据 时 不 做 任何 处 理 ,如 果 双 方 的 系统 相同 ,这 是 十 分 有 效 的 方式 。 
在 块 方式 中 ,数据 以 块 的 形式 由 FTP 传递 给 TCP, 每 一 数据 块 会 附加 一 个 3 字 节 头 部 ,第 
一 字 节 是 块 描述 符 , 后 两 个 字 节 是 用 来 定义 块 的 大 小 。 当 文件 较 大 时 ,采用 游程 编码 对 数据 
进行 压缩 ,压缩 方式 很 少 被 使 用 。 

FTP 中 的 文件 传输 有 3 种 类 型 : 检索 文件 ,文件 从 服务 器 复制 到 客户 机 ;存储 文件 , 文 
件 从 客户 机 复制 到 服务 器 ;检索 文件 列表 ,文件 的 目录 或 文件 名 列表 从 服务 器 传送 至 客户 
机 。 表 6.6 给 出 了 一 个 检索 文件 列表 的 实例 。 


表 6.6 FTP 检索 文件 列表 的 实例 


步 又 FTP 命令 格式 说 明 
客户 端 : ftp moon. ynu. edu 客户 端 请 求 对 主机 moon 的 连接 , 当 
1 Connected to moon. ynu. edu. 建立 FTP 控制 连接 后 ,FTP 服务 器 


服务 器 端 : 220(vsFTPd 1.2.1) 回 送 准备 就 绪 信号 (应 答 码 220) 


服务 器 端 : 530 Please login with USER and PASS. 
客户 端 : Name(moon. ynu. edu: xiaolu) : xiaolu 

2 服务 器 端 : 331 Please specify the password. 

客户 端 : Password:( 不 显示 ) 

服务 器 端 : 230 Login successful. 


服务 器 验证 客户 端 名 称 ( 应 答 码 
331) 和 口令 ,验证 通过 回 送 登录 成 
功 信息 (应 答 码 230) 


客户 端 : Remote system type is UNIX. Using binary 
mode to transfer files. ftp>1s reports 

3 服务 器 端 : 227 Entering Passive Mode(153,18, 17， 

11,238,169) 


150 Here comes the directory listing. 


文件 列表 数据 传输 : 

drwxr-xr-x 2 3027 411 4096 Sep 24 2006 business 
4 drwxr-xr-x 2 3027 411 4096 Sep 24 2006 personal 
drwxr-xr-x 2 3027 411 4096 Sep 24 2006 school 
服务 器 端 : 226 Directory send OK. 


客户 端 : ftpQUIT 
服务 器 端 : 221 Goodbye. 


客户 端 发 送 列表 命令 (ls reports )， 
检索 以 report 命名 的 文件 日 录 。 服 
务 器 回 送 150 并 打开 数据 连接 , 开 
始 传输 数据 至 客户 端 。 


客户 端 发 送 退 出 FTP 连接 命令 , 服 
务 器 以 221 作为 应 答 码 ,关闭 FTP。 


匿名 访问 FTP。 在 使 用 FTP 时 ,用 户 需 提交 用 户 名 账号 和 口令 给 FTP 服务 器 。 有 些 
网 站 可 以 向 公众 提供 一 些 公开 的 文件 下 载 ,例如 ,设备 生产 厂商 的 设备 使 用 手册 ,政府 机 关 
公布 的 法 令 法 规 等 。 这 种 情况 下 ,不 需要 用 户 名 和 口令 ,可 用 anonymous 作用 户 名 ,guest 
作 口 令 登 录 , 这 就 是 匿名 访问 FTP。 由 于 管理 人 员 对 匿名 FTP 的 安全 性 极为 重视 ,因此 用 
户 仅 能 下 载 公开 的 文件 ,而 不 允许 进行 其 他 操作 ,如 查看 文件 目录 和 删除 文件 等 ,访问 该 类 
系统 是 非常 受 限 制 的 。 
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6.5.2 FTP 的 安全 问题 


由 于 FTP 是 一 个 通过 互联 网 进行 文件 传输 的 系统 ,面临 一 系列 的 基于 网 络 的 安全 威 
胁 。 下 面 是 几 个 常见 的 安全 问题 。 

1. 跳 转 攻击 

文件 传输 协议 的 规范 RFC 959 提供 了 一 种 允许 客户 端 建立 FTP 控制 连接 ,并 在 两 台 
FTP 服务 器 间 传 输 文件 的 机 制 。 这 种 “代理 FTP” 机 制 可 以 用 来 减少 网 络 的 流量 ,客户 端 命 
令 一 台 FTP 服务 器 直接 传输 文件 给 另 一 台 FTP 服务 器 ,而 不 是 从 第 一 台 服 务 器 将 文件 传 
输 给 客户 端 ,然后 从 客户 端 再 传输 给 第 二 台 服 务 器 。 当 客户 端 连接 到 网 络 的 速度 特别 慢 时 ， 
这 是 非常 有 用 的 。 但 同时 ,代理 FTP 还 带 来 了 一 个 安全 问题 “ 跳 转 攻击 (Bounce Attack)”。 

攻击 者 发 送 一 个 FTP 的 PORT 命令 给 目标 FTP 服务 器 ,其 中 包含 被 攻击 主机 的 网 络 
地 址 和 被 攻击 的 服务 器 的 端口 号 。 这 样 ,客户 端 就 能 命令 FTP 服务 器 发 一 个 文件 给 被 攻击 
的 服务 器 。 这 个 文件 可 能 包含 与 被 攻击 的 服务 有 关 的 命令 (如 SMTP、NNTP 等 )。 由 于 是 
命令 第 三 方 去 连接 到 一 种 服务 ,而 不 是 直接 连接 ,就 使 得 跟踪 攻击 者 变 得 困难 ,并 且 还 避 开 
了 基于 网 络 地 址 的 访问 限制 。 例 如 ,客户 端 上 载 包含 SMTP 命令 的 报 文 到 FTP 服务 器 。 
然后 ,使 用 正确 的 PORT 命令 ,客户 端 命令 服务 器 打开 一 个 连接 给 第 三 方 机 器 的 SMTP 端 
口 。 最 后 ,客户 端 命 令 服 务 器 传输 刚才 上 载 的 包含 SMTP 命令 的 报 文 给 第 三 方 机 器 。 这 就 
使 得 客户 端 不 建立 任何 直接 的 连接 而 在 第 三 方 机 器 上 伪造 邮件 ,并 且 很 难 跟踪 到 这 个 攻 
击 者 。 

2. 基于 IP 地 址 的 访问 控制 

有 一 些 FTP 服务 器 希望 有 基于 IP 地 址 的 访问 控制 。 例 如 ,一 个 单位 部 门 的 FTP 服务 
器 只 供 内 部 使 用 ,不 允许 来 自 某 些 地 点 的 对 某 些 文件 的 访问 。 在 这 种 情况 下 ,服务 器 在 发 送 
受 限制 保护 的 文件 之 前 ,应 该 首先 确保 客户 主机 的 网 络 地 址 在 本 单位 部 门 的 范围 内 ,不 管 是 
控制 连接 还 是 数据 连接 。 将 控制 连接 使 用 一 台 可 信任 的 主机 ,而 对 数据 连接 的 主机 安全 性 
要 求 不 高 。 同 样 ,客户 也 应 该 在 接受 监听 模式 下 的 开放 端口 连接 后 ,检查 远程 主机 的 IP 地 
址 ,以 确保 连接 是 由 所 期 望 的 服务 器 建立 的 。 

3. 保护 用 户口 令 

为 了 防止 黑客 采用 穷尽 法 的 密码 猜测 攻击 去 登录 FTP 服务 器 ,FTP 服务 器 限制 用 户 
尝试 登录 发 送 口令 的 次 数 。 在 3 一 5 次 尝试 失败 后 ,服务 器 应 该 结束 与 该 客户 的 控制 连接 。 
在 结束 控制 连接 以 前 ,服务 器 必须 给 客户 端 发 送 一 个 返回 码 421 ,表示 “服务 不 可 用 ,关闭 控 
制 连接 ”。 

4. 私密 性 

在 FTP 标准 中 ,所 有 在 网 络 上 传送 的 FTP 数据 和 控制 信息 (包括 口令 等 ) 都 未 被 加 密 。 
为 了 保障 FTP 传输 数据 的 私密 性 ,应 尽 可 能 使 用 安全 的 加 密 系 统 (例如 SSL/TLS 等 )。 

5. 保护 用 户 名 

当 USER 命令 中 的 用 户 名 被 拒绝 时 ,在 FTP 标准 中 定义 了 相应 的 返回 码 530。 而 当 用 
户 名 是 有 效 的 ,但 却 需 要 口令 时 ,FTP 将 使 用 返回 码 331。 为 了 避免 恶意 的 客户 利用 USER 
操作 返回 的 码 来 判断 一 个 用 户 名 是 否 有 效 ,FTP 服务 器 应 当 对 USER 命令 始终 返回 331， 
然后 拒绝 对 无 效用 户 名 的 登录 。 
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6.6 电子 邮件 及 其 信息 安全 


电子 邮件 E-mail 是 目前 乃至 未 来 应 用 最 广泛 的 互联 网 服务 项 目 。 电 子 邮 件 系统 使 用 
的 传输 协议 包括 简单 邮件 传输 协议 (Simple Mail Transfer Protocol, SMTP)、 邮 局 协议 
(Post Office Protocol,POP) .互联 网 邮件 访问 协议 (Internet Mail Access Protocol,IMAP) 、 
多 功能 互联 网 邮件 扩展 协议 (Multipurpose Internet Mail Extensions, MIME)、HTTP 协 
议 等 。 

在 互联 网 的 早期 ,电子 邮件 仅 用 于 传输 短 的 文本 报 文 , 主 要 用 于 传递 短信 息 。 现 在 的 电 
子 邮件 系统 的 功能 比 早期 更 为 复杂 ,可 以 传输 文本 ,也 可 以 传输 图 片 .声音 和 视频 等 非 
ASCII 码 的 数据 文件 。 也 能 将 一 个 电子 邮件 传输 给 一 个 或 多 个 接收 者 。 由 于 SMTP 等 协 
议 在 信息 安全 保护 方面 的 不 足 , 导 致 互联 网 上 垃圾 电子 邮件 的 泛滥 ,以 及 邮件 信息 的 泄露 等 
安全 问题 。 

电子 邮件 信息 安全 保护 的 协议 有 : 本 节 介 绍 的 安全 多 功能 互联 网 邮件 扩展 协议 
(S/MIME) ,第 11 章 将 介绍 的 PGP 协议 .以 及 得 到 广泛 应 用 的 基于 浏览 器 和 安全 套 接 层 协 
议 的 电子 邮件 系统 。 


6.6.1 电子 邮件 的 传输 过 程 


首先 介绍 几 个 概念 : 

(1) 用 户 的 电子 邮箱 地 址 : 必须 是 全 球 唯一 的 。SMTP 的 邮箱 地 址 由 两 个 部 分 组 成 ， 
用 户 名 和 注册 邮件 服务 器 的 域名 (或 IP 地 址 ) ,中 间 用 符号 "@” 隔 开 。 用 户 邮箱 名 所 定义 的 
邮箱 用 于 存储 用 户 接收 和 发 送 的 所 有 邮件 ,以 及 创建 的 邮件 草稿 等 。 域 名 是 该 用 户 注 册 的 
邮件 服务 器 的 名 字 。 

(2) 邮件 用 户 代理 (Mail User Agent, MUA): 也 称 为 邮件 阅读 编辑 器 ,是 在 本 地 计算 
机 运行 的 程序 。 它 的 功能 是 构造 和 编辑 邮件 报 文 , 阅 读 邮件 报 文 .回复 邮件 ,转发 邮件 ,管理 
用 户 自己 的 邮箱 。 它 直接 面 对 用 户 ,为 用 户 提供 基于 命令 行 或 图 形 界 面 的 交互 操作 。 例 如 ， 
微软 的 Outlook Express 和 Netscape 等 。 

(3) 邮件 传输 代理 (Mail Transfer Agent, MTA): 负责 把 邮件 从 一 个 邮件 服务 器 传送 
到 另 一 个 邮件 服务 器 。 在 互联 网 中 , MTA 使 用 简单 邮件 传输 协议 ,是 系统 的 守护 进程 
(daemon) ,在 后 台 运 行 。 要 发 送 邮 件 , 系 统 必须 有 一 个 SMTP 的 客户 端 ; 要 接收 邮件 , 则 必 
须 有 一 个 SMTP 的 服务 器 端 。 

电子 邮件 系统 的 配置 有 4 种 结构 ,这 里 仅 介绍 图 6. 25 所 示 的 最 常用 的 基于 互联 网 的 电 
子 邮 件 系 统 。 此 系统 中 ,从 电子 邮件 发 件 人 到 收 件 人 之 间 的 邮件 传输 过 程 由 以 下 3 个 阶段 
构成 。 

第 1 阶段 : 用 户 代理 先 通 过 DNS 域名 查询 ,获得 用 户 注册 的 邮件 服务 器 的 IP 地址, 见 
图 6.5。 然 后 用 户 代 理 MUA 利用 SMTP 客户 端 软 件 将 电子 邮件 发 送 到 用 户 注 册 的 SMTP 
服务 器 ,注意 邮件 不 是 直接 传送 到 接收 者 服务 器 的 。 接 收 邮件 的 服务 器 使 用 的 是 SMTP 服 
务 器 端 软件 ,默认 端口 号 25。 

第 2 阶段 : 邮件 从 发 送 者 的 SMTP 服务 器 传送 到 接收 者 注册 的 邮件 服务 器 ,一般 情况 邮 
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图 6.25 电子 邮件 传输 的 3 个 阶段 


件 要 经 过 若干 中 间 邮 件 网 关 的 转发 。 此 时 本 地 邮件 服务 器 使 用 SMTP 客户 端 软件 (使 用 临时 
端口 号 ) ,而 接收 者 注册 的 远 地 邮 件 服 务 器 使 用 的 是 SMTP 服务 器 端 软件 (使 用 端口 25) 。 

第 3 阶段 : 接收 者 的 用 户 代理 使 用 邮件 访问 协议 (如 POP3 或 IMAP4 等 ) ,访问 注册 的 
邮件 服务 器 中 自己 的 邮箱 ,并 获取 邮件 。 第 3 阶段 不 使 用 SMTP 协议 ,因为 SMTP 是 一 个 
“ 推 ”的 协议 ,由 发 件 人 主动 发 送 邮 件 , 即 使 收 件 人 不 愿意 接收 邮件 ,也 可 将 邮件 推送 到 收 件 
人 的 邮箱 。 这 也 是 导致 垃圾 邮件 泛滥 的 原因 之 一 。 在 收 件 人 的 计算 机 中 需要 使 用 一 个 “ 拉 ” 
协议 , 即 邮 件 访问 协议 ,由 收 件 人 发 起 操作 ,从 服务 器 的 邮箱 中 读 取 给 自己 的 邮件 。 邮 件 访 
问 协 议 有 两 种 : 邮局 协议 版 本 3(Post Office Protocol, Version 3,POP3) 和 互联 网 邮件 访问 
协议 版 本 4(Internet Mail Access Protocol, Version 4,IMAP4) 。 

通常 ,收发 一 条 邮件 报 文 的 过 程 包括 : 对 邮件 服务 器 的 DNS 查询 ,与 邮件 服务 器 建立 
TCP 连接 ,收发 邮件 报 文 , 完 毕 后 终止 TCP 连接 等 几 个 过 程 。 用 户 只 与 邮件 用 户 代 理 MUA 
打交道 ,一 般 不 与 邮件 传输 代理 SMTP 打交道 ,由 本 地 系统 管理 员 配 置 本 地 的 SMTP 服务 器 。 


6.6.2 邮件 传输 代理 和 邮件 访问 代理 


1. 简单 邮件 传输 协议 

简单 邮件 传输 协议 是 互联 网 上 传输 电子 邮件 的 标准 协议 ,采用 客户 /服务 器 的 工作 方 
式 。 通常 SMTP 使 用 命令 和 响应 在 客户 端 至 服务 器 端 (或 某 邮 件 服务 器 至 另 一 邮件 服务 
器) 传输 邮件 报 文 ,参看 图 6. 25 和 表 6.7。 在 收发 双方 连接 建立 后 ,发 送 方 的 SMTP 客户 
软件 发 送 MAIL 命令 提示 邮件 服务 器 , 若 此 时 接收 SMTP 可 用 , 则 回 送 应 答 OK, 收 到 
OK 报 文 的 发 送 方 继续 发 出 RCPT 命令 ,以 确认 邮件 是 否 被 收 到 ,如 果 接 收 方 收 到 , 则 回 送 
OK ,否则 回 送 拒 绝 接 收 应 答 。 双 方 反复 多 次 ,直至 邮件 传输 处 理 完毕 。 表 中 列 出 了 从 
sender@abc. com 传输 一 条 报 文 到 receiver@xyz. com 的 第 1 阶段 的 7 个 步骤 。 


表 6.7 从 sender@abc. com 发 送 一 个 邮件 到 receive@xyz. com 的 命令 及 其 说 明 


步 又 SMTP 命令 格式 说 明 


| 服务 器 端 : 220 xyz. com SMTP service ready | 接收 方 xyz. com 服务 就 绪 ( 应 答 码 220) 


客户 端 : HELO abc. com 服务 器 端 250 
xyz. com says hello to abc. com 

客户 端 : MAIL FROM: 一 sender@abc. com 二 
服务 器 端 : 250 sender OK 


发 送 方向 接收 方 发 送 自己 的 地 址 abc. com, 接 
收 方 回 送 请 求 命令 完成 消息 (应 答 码 250) 

启动 邮件 传输 处 理 , 服 务 器 回 送 请 求 命令 完 
成 消息 (应 答 码 250) 
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步 又 SMTP 命令 格式 说 明 
标识 邮件 接收 者 的 地 址 ,此 处 只 有 一 个 接收 
: RCPT TO: @ xyz. 
4 el 2 eT 四 29? Com 六 | 者 receiver, 服 务 器 回 送 请 求 命令 完成 消息 
和 (应 答 码 250) 
-| 发 送 方 SMTP 客户 把 其 后 面 的 行为 看 做 邮件 
= 端 , DATA 而 2 a 
5 | 并 ; DO 人 有 务 医 油 ;354 Send mel | 传输 ,服务 器 回 送 354 应 答 码 , 请 发 送 方 开始 
. Ee 输入 邮件 ,以 *. ”结束 
= 出， 容 (Fioms: sender To， 、 
| 发 送 方 传输 妆 件 数据 ,传输 完毕 后 ,服务 器 回 
服务 器 端 : 250 message accepted 送 报 文 收 到 的 消息 (应 答 码 250) 
7 客户 端 : QUIT 发 送 方 要 求 SMTP 服务 器 回 送 一 个 OK 应 答 
服务 器 端 : 221 xyz. com closing connection 并 关闭 传输 连接 ,应 答 码 221 


从 上 面 可 以 知道 ,SMTP 协议 的 每 一 个 命令 都 会 返回 一 个 应 答 码 ,其 每 个 代码 数字 都 
有 特定 的 含义 ,例如 ,第 一 个 数字 为 *2” 表 示 命 令 成 功 执行 ;*5” 表 示 失 败 ;*3” 表 示 尚 未 完成 。 
表 6.8 列 出 了 常用 应 答 码 及 其 含义 。 
表 6.8 简单 邮件 传输 协议 的 应 答 码 及 其 含义 


应 答 三 含义 含义 
211 系统 状态 或 帮助 响应 214 帮助 信息 
220 服务 就 绪 221 服务 关闭 (传输 通道 关闭 ) 
250 请 求 命令 完成 非 本 地 用 户 ,消息 将 被 转发 
354 开始 输入 邮件 ,以 “. "结束 421 服务 不 可 用 
450 邮箱 不 可 用 451 处 理 过 程 出 错 ,放弃 操作 
452 系统 存储 不 足 , 放 弃 操 作 语法 错误 ,未 知 命令 
501 参数 格式 错误 502 命令 不 可 实现 
503 错误 的 命令 序列 命令 暂时 不 可 实现 
550 邮件 操作 未 完成 ,邮箱 不 可 用 非 本 地 用 户 
552 过 量 存储 分 配 ,请 求 未 执行 邮箱 名 不 可 用 ,请 求 未 执行 
554 传输 失败 


2. 邮件 访问 代理 POP3 协议 

在 邮件 传输 的 第 1 和 第 2 阶段 使 用 的 是 简单 邮件 传输 协议 ,因为 SMTP 是 “ 推 ” 协 议 ， 
它 将 邮件 报 文 从 客户 端 主动 地 * 推 ?到 邮件 服务 器 端 。 换 言 之 ,邮件 首先 是 从 客户 端 * 推 ?到 
发 方 的 服务 器 邮箱 中 ,然后 再 * 推 ?到 接收 方 的 服务 器 邮箱 中 。 在 邮件 传输 的 第 3 阶段 需要 
的 是 * 拉 ”协议 ,接收 客户 端 主 动 地 从 自己 的 服务 器 邮箱 下 载 邮件 。 接 收 邮件 的 协议 与 传送 
邮件 的 协议 不 同 。 第 3 阶段 使 用 的 是 报 文 访问 代理 协议 。 邮 件 接收 者 获取 邮件 使 用 的 报 文 
访问 代理 有 两 个 : POP3 和 IMAP4, 见 图 6.25。 

邮局 协议 是 早期 使 用 的 较为 简单 的 邮件 访问 协议 。POP3 的 客户 端 软件 安装 在 收 件 人 
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的 计算 机 上 ,POP3 的 服务 器 端 软件 安装 在 邮件 服务 器 上 。 当 收 件 人 从 邮件 服务 器 的 邮箱 
中 下 载 邮件 时 ,由 收 件 客 户 端 (MUA) 发 起 与 服务 器 110 端口 间 的 TCP 连接 。 连 接 建 立 后 ， 
要 经 过 3 个 工作 流程 状态 : 首先 是 认证 过 程 (Authentication State) , 收 件 人 发 送 自己 的 用 
户 名 (USER 命令 ) 和 密码 (PASS 命令 ) 给 POP3 服务 器 ;认证 通过 后 转 和 处理 状态 
(CTransaction State) , 收 件 人 可 检索 、 收 取 或 删除 邮件 ;完成 操作 后 ,客户 端 发 送 结 束 命令 
(QUIT) 给 POP3 服务 器 。 此 后 服务 器 进入 更 新 状态 Cupdate state) ,将 做 了 删除 标记 的 邮 
件 从 服务 器 清除 。POP3 服务 器 的 默认 端口 号 为 110。 下 载 邮件 过 程 如 图 6. 26 所 示 。 


邮件 POP3 收 件 人 的 POP3 
服务 器 服务 器 计算 机 客户 端 
S < 人 > 


| 一 一 用 户 名 
一 |- 
二 一 一 口令 
一- 


一 一 一 查询 收 件 箱 的 邮件 清单 


” 邮件 清单 和 大 小 ”上 一 一 


| 请 下 传 邮 件 1 == 


i 邮件 1 报 文 | 


al 请 下 传 邮件 入 


| 邮件 N 报 文 | 


昌 
图 6.26 使 用 POP3 协议 从 服务 器 下 载 邮件 的 过 程 


对 于 客户 端 发 出 的 每 个 命令 ,邮件 服务 器 都 发 回 一 个 响应 。POP3 命令 由 一 个 命令 关 
键 字 和 一 些 参数 组 成 。POP3 响应 由 一 个 状态 码 ( 包 括 两 种 状态 码 , “确定 ”用 十 OK,“ 失 败 ” 
用 一 ERR 表示 ) 和 一 个 可 含有 附加 信息 的 命令 组 成 。 

POP3 对 用 户 的 邮件 有 两 种 管理 模式 : 删除 模式 和 保存 模式 。 在 删除 模式 下 , 当 收 件 人 
从 服务 器 邮箱 中 下 载 邮件 至 本 地 计算 机 后 ,邮件 服务 器 就 删除 或 清空 用 户 邮 箱 中 已 下 载 邮 
件 。 删 除 模式 适用 于 用 户 使 用 固定 计算 机 的 情况 ,用 户 将 邮件 下 载 到 自己 的 计算 机 中 进行 
管理 和 保存 。 而 保存 模式 则 允许 在 收 件 人 下 载 了 邮件 后 ,这 些 邮 件 仍然 保存 在 邮件 服务 器 
中 。 保 存 模式 方便 用 户 从 各 不 同 的 网 络 计算 机 上 访问 自己 的 电子 邮箱 。 

3. 互联 网 邮件 访问 协议 

互联 网 邮件 访问 协议 版 本 4 与 POP3 类 似 ,但 是 它 比 POP3 具有 更 强大 和 复杂 的 功能 。 

POP3 有 一 些 缺 陷 , 例 如 ,不 能 在 邮件 服务 器 上 编辑 自己 的 邮件 ,不 能 在 服务 器 上 
有 不 同 的 文件 夹 ,在 邮件 下 载 之 前 不 能 预览 邮件 的 部 分 内 容 等 。IMAP4 提供 了 以 下 附 
加 功能 : 

(1) 在 从 服务 器 下 载 邮件 之 前 可 以 先进 行 预览 。 

(2) 在 从 服务 器 下 载 邮件 之 前 ,可 以 搜索 邮件 内 容 中 的 指定 字符 串 。 

(3) 可 以 只 下 载 部 分 邮件 。 适 用 于 邮件 中 含有 大 容量 的 多 媒体 信息 ,带宽 不 够 等 情况 。 
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(4) 可 以 在 邮件 服务 器 上 建立 删除 和 重新 命名 邮箱 。 

(5) 在 存储 邮件 时 ,可 以 在 一 个 文件 夹 中 建立 层次 结构 的 邮箱 。 

4. 基于 HTTP 和 HTTPS 协议 的 电子 邮件 

基于 Web 的 电子 邮件 是 当今 最 广泛 的 互联 网 应 用 之 一 ,很 多 网 站 都 可 向 任何 人 提供 电 
子 邮 件 服务 ,例如 hotmail、Yahoo 和 mail. 163. com. cn 等 邮件 网 站 。 基 于 Web 的 电子 邮件 
系统 的 思想 是 很 简单 的 ,例如 ,第 1 阶段 ,发 送 方 小 李 利用 正 浏览 器 (用 户 代 理 ) 向 他 的 邮件 
服务 器 发 送 邮件 时 ,使 用 的 是 HTTP 协议 。 第 2 阶段 ,邮件 发 送 服务 器 向 邮件 接收 服务 器 
传递 邮件 报 文 时 ,使 用 的 仍然 是 SMTP 协议 。 第 3 阶段 , 收 件 人 小 张 利 用 IE 浏览 器 (用 户 
代理 ) 向 自己 注册 的 邮件 服务 器 下 载 接收 邮件 时 ,使 用 的 是 HTTP 协议 。 
注意 ,在 邮件 传输 的 第 3 阶段 使 用 HTTP 协议 ,而 不 是 POP3 或 IMAP4。 当 接收 者 小 
张 要 接收 自己 的 邮件 时 ,他 发 送 一 个 请 求 登录 的 报 文 给 自己 注册 的 邮件 网 站 (如 http:// 
mail. 163. com. cn) 。 邮 件 网 站 返回 一 个 IE 页 面 的 表格 给 小 张 填写 ,要 求 输入 他 的 注册 名 和 
口令 进行 身份 认证 。 小 张 的 用 户 名 和 口令 在 网 络 传输 时 易 被 黑客 截获 。 在 要 求 安全 邮件 的 
网 站 还 返回 一 组 用 图 形 显示 的 随机 数 ,要求 小 张 读 出 图 形 上 的 随机 数 ,将 此 随机 数 与 用 户 名 
和 口令 进行 MD5 或 其 他 运算 ,将 运算 结果 返回 给 邮件 服务 器 ,完成 安全 身份 认证 。 在 此 过 
程 中 ,如 果 黑 客 获取 了 网 络 数据 中 传输 的 口令 的 MD5 值 , 他 不 可 能 推算 出 用 户 的 口令 。 见 
第 2 章 挑 战 握手 身份 认证 (CHAP) 协 议和 第 10 章 网 络 实体 的 身份 认证 。 

如 果 收 件 人 的 用 户 名 和 口令 都 通过 了 身份 认证 ,Web 邮件 服务 器 就 用 HTML 的 格式 
将 邮件 发 送 到 收 件 人 的 下 浏览 器 。 

利用 HTTP 协议 收 发 电子 邮件 时 ,邮件 的 信息 是 完全 用 ASCII 码 的 明文 传输 的 ， 
任何 人 都 可 以 从 网 络 数据 流 中 获取 邮箱 账号 .用 户口 令 和 全 部 邮件 信息 。 近 年 来 在 电 
子 邮件 的 通信 中 使 用 了 SSL/TLS 协议 以 及 安全 的 HTTPS 协议 ,将 浏览 器 与 Web 服 
务 器 之 间 的 数据 加 密 , 提 高 了 安全 性 ,但 是 这 种 方案 没有 解决 从 用 户 端 到 用 户 端 的 全 
程 加 密 问题 。 某 些 邮 件 服务 商 采用 SSL/TLS 协议 反对 传输 的 邮箱 地 址 和 口令 加 密 。 
详 见 第 11 章 的 介绍 。 


6.6.3 多 功能 互联 网 邮件 扩展 与 安全 邮件 


1. 多 功能 互联 网 电子 邮件 扩展 

SMTP 电子 邮件 系统 的 结构 简单 ,使 用 方便 ,但 只 能 发 送 7 位 NVT ASCII 码 (网 络 虚 
拟 终 端的 美国 信息 交换 代码 ) 格 式 的 报 文 ,不 能 用 于 传输 那些 7 位 NVT ASCII 不 支持 的 语 
言 , 如 法 语 、 德 语 ,中 文 . 日 文 等 。 也 不 能 用 于 发 送 二 进 制 数据 文件 ,可 执行 文件 ,以 及 视频 和 
音频 等 文件 。 多 功能 互联 网 邮件 扩展 协议 MIME 作为 SMTP 的 扩展 ,使 电子 邮件 系统 可 
以 传送 非 ASCII 码 的 数据 文件 。 

在 邮件 处 理 流程 中 ,MIME 位 于 邮件 用 户 代理 与 传输 代理 之 间 。 发 件 方 MIME 将 非 
ASCII 码 的 数据 文件 转换 成 NVT ASCII 格式 的 文本 文件 ,然后 将 文本 文件 交 给 邮件 传输 
代理 的 SMTP 客户 端 , 并 通过 互联 网 传送 到 收 件 方 的 SMTP 服务 器 上 。 邮 件 接收 者 再 取出 
文本 文件 交 给 自己 的 MIME 转换 为 原来 格式 的 数据 文件 ,流程 如 图 6. 27 所 示 。 

MIME 定义 了 5 种 头 部 ,可 加 入 在 原 SMTP 头 部 中 ,其 含义 如 表 6. 9 所 示 。 
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A 邮件 用 户 代理 邮件 用 户 代理 Bt 


非 ASCII 码 非 ASCI 码 人 
1 的 数据 文件 的 数据 文件 
MIME MIME 
7-bit NVT 7-bitNVT 下 
1 ASCI[ 文 件 ASCII 文 件 
邮件 传输 代理 邮件 传输 代理 
网 络 传输 t 


图 6.27 MIME 传输 非 ASCII 码 的 数据 文件 的 过 程 


表 6.9 MIME 的 五 种 报 文 头 


和 前 含 站 
MIME-Version | 规定 了 MIME 的 版 本 
Content-Type 报 文 主体 的 数据 类 型 


传输 内 容 的 编码 方法 
多 报 文 环 境 中 唯一 标识 一 条 完整 的 报 文 
描述 报 文 内 容 , 是 图 像 .音频 还 是 视频 


Content-Transfer-Encoding 
Content-ID 


Content-Description 


MIME 有 7 种 内 容 类 型 ,每 种 类 型 中 包含 若干 子 类 型 ,如 表 6. 10 所 示 。 
表 6.10 MIME 传输 的 内 容 类 型 . 子 类 型 及 其 说 明 


类 型 子 类 型 说 明 
Plain 无 格式 文本 
文本 (Text) 
HTML HTML 格式 
JPEG JPEG 格式 的 图 像 
图 像 (Image) 
GIF GIF 格式 的 图 像 
声音 (Audio) Basic 采样 频率 为 8kHz 的 单 声 道 语音 编码 格式 
视频 (Video) MPEG MPEG 的 视频 
PostScript Adobe PS 文档 
应 用 (Application) 
Octet-stream 以 字 节 为 单位 的 数据 流 
RFC822 MIME RFC822 报 文 
报 文 (Message) Partial 为 了 传输 而 被 分 段 的 报 文 
External-body 报 文本 身 另 外 通过 网 络 获取 
Mixed 内 容 包 含 各 个 有 序 的 独立 部 分 
Parallel 必须 同时 查看 的 部 分 
多 个 部 分 (Multipart) 
Digest 每 一 部 分 都 是 一 个 完整 的 RFC822 报 文 
Alternative 同样 的 报 文 ,但 格式 不 同 
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MIME 对 所 传输 的 非 ASCII 码 的 内 容 进 行 编码 转换 ,转换 方法 分 为 : 7 位 ASCII 编码 、 
8 位 ASCII 编码 、Base-64 编码 .引用 可 打印 编码 等 。 其 中 最 常用 的 是 Base-64 编码 ,在 
MIME、S/MIME 和 PGP 的 安全 电子 邮件 传输 中 都 要 用 到 。 
Base-64 编码 ,如 表 6. 11 所 示 。 由 于 简单 邮件 传输 协议 只 能 传输 ASCII 码 的 文件 ， 


因 


此 当 电子 邮件 要 传输 非 ASCII 码 的 二 进 制 数 据 文件 时 (图 片 音频、 视频 ,加密 文件 .可 执行 
文件 等 ) ,就 要 先 将 这 些 文件 的 数据 转换 为 ASCII 编码 的 符号 ,才能 通过 SMTP 传输 。 邮 件 
接收 者 收 到 后 ,再 将 收 到 的 这 些 ASCII 编码 的 符号 查 表 转 换 为 原来 的 二 进 制 数据 文件 。 

表 6.11 Base-64 编码 表 


值 编码 值 值 编码 值 编码 
0 11 44 s 55 3 
1 B 12 45 t 56 4 
2 C 13 46 u 57 
3 D 14 47 v 58 6 
4 E 15 48 w 59 W 
5 F 16 49 x 60 8 
6 G 17 50 y 61 9 
H 18 51 z 62 4 
8 I 19 52 o 63 

9 | 20 53 1 

10 K 21 54 2 


图 6. 28 所 示 为 邮件 发 送 方 编码 的 过 程 ,邮件 接收 端的 处 理 过 程 与 此 相反 。Base-64 编 
码 时 ,将 要 用 邮件 传输 的 非 ASCII 码 的 二 进 制 文件 划分 为 24 比特 的 数据 块 , 每 块 分 为 4 部 
分 ,每 部 分 有 6 比特 。 因 此 每 部 分 可 出 现 的 比特 组 合 有 2" 二 64 种 ,用 64 个 ASCII 字符 来 分 
别 代 表 64 种 组 合 。 然 后 使 用 一 个 Base-64 编码 对 照 表 , 将 每 个 部 分 的 6 比特 数据 映射 转换 
为 8 比特 的 ASCII 编码 的 字符 ,参见 附录 FF。 然后 将 形成 的 ASCII 文件 送 SMTP 传输 。 建 议 
访问 提供 Base-64 编码 转换 实验 和 服务 的 网 址 http://tool. chinaz. com /Tools /base64. aspx， 
并 将 网 站 上 转换 实验 的 结果 与 按照 表 6. 11 的 转换 结果 进行 对 照 。 


将 非 ASCII 数 据 文件 | 110011001000000100111001 


分 为 24 位 的 数据 块 


每 块 分 为 4 部 分 |110011 
每 部 分 6 比特 “| _(51) 


001000 
(8) 


000100 | 111001 
(| (57) | 查 Base-64 


z27 


LX 


E\ 5 \ 编码 表 


ASCII 字 符 文件 01111010 | 01001001 


01000101 | 00110101 


图 6.28 ”Base-64 编码 将 非 ASCII 数据 转换 为 ASCII 字符 文件 


由 上 述 可 知 ,通过 电子 邮件 附件 传送 的 非 ASCII 编码 的 文件 经 过 Base-64 转换 后 ,实际 


传输 的 数据 量 比 源 文件 增加 了 8/6 信 。 
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下 面 是 一 个 包含 HTML 文本 和 音频 两 种 可 选 子 类 型 的 Multipart 邮件 报 文 实例 : 


From: sender@abc.com // 发 件 大 
To: receiver@xyz.com // 收 件 人 
MIME-Version: 1.0 // 协 议 版 本 


Message- ID: 0704760942.AA007458@abc.com // 报 文 ID 

Content- Type: multipart/alternative; boundary= qwertyiopasdfghlnm 

// 指 出 该 报 文 有 多 个 部 分 ,各 部 分 间 的 界限 由 2 个 "--" 划 分 ,后 面 跟 着 一 个 字符 串 (由 软件 自动 生 
成 ) ,字符 串 的 值 由 boundary 参数 指定 


Subject: Hello // 邮 件 主题 
--qwertyiopasdfghlnm 
Content- Type: text/HTML // 指 明 下 面 将 使 用 HTML 格式 的 文本 


Happy birthday! 
<bold> Happy birthday to you< /bold>! 
--qwertyiopasdfghlnm 
Content- Type: message/External- body; // 指 出 下 面部 分 是 一 个 链接 ,连接 歌曲 "生日 快乐 " 
access- type= "anon- ftp"; 
site="earth.abc .com"; 
directory= "pub"; 
name= "birthday .snd" 


Content- Type: audio/basic // 播 放歌 曲 的 格式 
Content- Transfer-Encoding: Base64 // 整 个 邮件 传输 编码 格式 采用 Base64 编码 
--qwertyiopasdfghlnm— 


由 上 述 原 理 可 知 ,利用 Base-64 编码 传输 电子 邮件 中 的 非 ASCII 码 的 信息 时 ,传输 的 数 
据 量 比 信息 数据 量 增加 了 8/6 倍 。 可 以 使 用 Wireshark 网 络 协议 分 析 软 件 ,进行 对 电子 邮 
件 报 文 内 容 的 捕获 与 分 析 实 验 。 当 自己 发 送 电子 邮件 时 从 本 机 网 络 接口 上 捕获 传 出 的 邮件 
数据 ,分 析 其 中 的 内 容 , 体 验 自己 发 送 的 普通 电子 邮件 中 暴露 的 隐私 问题 ,包括 用 户 名 \ 口 令 
和 邮件 内 容 等 。 

2. 安全 /多 功能 互联 网 电子 邮件 扩展 

安全 /多 功能 互联 网 电子 邮件 扩展 (Secure/Multipurpose Internet Mail Extension,S/ 
MIME) 是 对 MIME 互联 网 电子 邮件 协议 标准 的 信息 安全 保密 功能 的 扩展 ,利用 了 第 10 章 
介绍 的 数据 加 密 和 完整 性 认证 技术 ,实现 对 发 件 人 的 身份 认证 或 对 邮件 内 容 的 加 密 保护 等 。 
第 11 章 中 还 介绍 了 基于 TLS 协议 的 安全 电子 邮件 系统 ,以 及 电子 邮件 安全 协议 PGP。 本 
节 介 绍 的 S/MIME 作为 工业 标准 用 于 商务 和 单位 部 门 ,需要 邮件 的 通信 各 方 具有 数字 证 
书 。 关 于 数字 签名 等 信息 安全 知识 参看 第 10 章 和 第 11 章 , 本 节 仅 作 概 念 性 的 介绍 。 
S/MIME 对 电子 邮件 提供 以 下 4 种 类 型 的 保密 和 认证 功能 。 

第 1 类: 用 信封 保护 邮件 的 数据 (Enveloped Data) : 包含 加 密 后 的 邮件 内 容 ,以 及 加 密 
后 的 密 钥 ,发 送 给 1 个 或 多 个 收 件 人 。 此 类 型 的 代码 是 application/pkcs7-mime。 第 1 类 
S/MIME 电子 邮件 发 送 方 的 加 密 过 程 如 下 : 

(1) 邮件 通信 双方 事先 选 定 一 个 对 称 密 钥 加 密 算法 (例如 3-DES 等 , 见 第 10 章 ) ,再 产 
生 一 个 伪 随 机 数 的 密 钥 作为 本 次 邮件 的 会 话 密 钥 。 

(2) 利用 每 个 收 件 人 的 RSA 公开 密 钥 ,分 别 将 此 会 话 密 钥 加 密 。 
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(3) 为 每 个 收 件 人 产生 一 个 RecipientInfo 数据 块 , 其 中 包含 : 一 个 收 件 人 的 公 钥 证 书 
ID( 因 为 一 个 收 件 人 可 能 有 多 个 公 钥 证 书 ) ;一 个 对 会 话 密 钥 加 密 的 算法 ID; 加 密 后 的 会 话 

(4) 利用 会 话 密 钥 将 邮件 内 容 加 密 。 然 后 将 此 加 密 的 电子 邮件 发 送出 去 。 

举例 : 以 下 是 一 个 用 信封 保护 的 S/MIME 电子 邮件 (不 包括 前 面 的 电子 邮件 头 部 ): 


Content- Type: application/pkcs7-mime; smime- type=enveloped- data; // 内 容 类 型 

name= smime .p7m 

Content - Transfer -Encoding: base64 // 编 码 方法 
Content -Disposition: attachment; filename= smime.p7m // 用 附件 传输 加 密 内 容 
rfvbnj756tbBghyHhHUujhJhjH77n8HHGT9HG4VQOpfyF467GhIGfHfYT67n8HHGghyHhHUujhJh4AVQpfyF467 
GhIGfHfYGTrfvbnjT6jH7756tbB9HE8HHGTrfvhJhjH776tbB9HG4VQbnj7567GhIGfHfYT6ghyHhHUujpfy 
FEF40GhIGfHfQbnj756YT64V 


当 收 件 人 收 到 此 S/MIME 邮件 后 , 先 利 用 Base-64 解码 方法 取出 加 密 的 报 文部 分 , 然 
后 使 用 收 件 人 自己 的 私有 密 钥 ,从 被 发 送 方 用 收 件 人 的 公 角 加密 的 会 话 密 钥 解密 ,再 用 此 取 
出 的 会 话 密 钥 对 加 密 的 邮件 内 容 解密 ,获得 电子 邮件 内 容 。 

第 2 类 : 数字 签名 的 邮件 数据 (Signed Data) , 发 件 人 先 从 邮件 报 文 内 容 中 计算 出 报 文 
摘要 ,然后 利用 发 件 人 的 私有 密 钥 对 摘要 进行 加 密 ,这 就 构成 了 对 邮件 内 容 的 数字 签名 。 然 
后 利用 Base-64 编码 方法 ,将 邮件 内 容 和 数字 签名 变换 为 ASCII 码 的 字符 ,通过 SMTP 电 
子 邮件 发 送 。 只 有 具有 S/MIME 功能 的 邮件 收 信人 能 够 阅读 签名 后 的 邮件 报 文 ,以 及 对 报 
文 的 签名 验证 。 

第 3 类 : 明文 邮件 加 数字 签名 (Clear-signed Data) ,发 件 人 首先 与 上 述 签名 的 过 程 一 
样 ,产生 出 邮件 报 文 的 数字 签名 。 但 是 在 发 送 邮 件 时 ,邮件 报 文 用 明文 发 送 , 只 将 数字 签名 
部 分 用 Base-64 转换 为 ASCII 码 发 送 。 如 果 收 件 人 没有 S/MIME 功能 ,那么 可 以 阅读 邮件 
报 文 ,但 是 不 能 验证 邮件 报 文 是 否 被 算 改 过 ,以 及 不 能 验证 发 信人 的 签名 。 

第 4 类 : 数字 签名 和 用 信封 保护 的 邮件 (Signed and Enveloped Data): 对 加 密 后 的 邮 
件 报 文 进行 数字 签名 ,或 者 对 上 述 第 2 和 第 3 类 的 邮件 数据 进行 加 密 。 


6.6.4 垃圾 电子 邮件 及 其 防范 


电子 邮件 的 安全 问题 包含 几 个 方面 : 电子 邮件 用 户 和 邮件 服务 器 的 身份 认证 ,电子 邮 
件 报 文 的 加 密 和 防 自 改 技术 ,垃圾 电子 邮件 识别 和 过 滤 技 术 等 。 前 两 个 问题 已 介绍 ,本 节 讨 
论 当前 互联 网 上 的 垃圾 电子 邮件 泛滥 问题 。 

2003 年 2 月 26 日 颁布 的 (中 国 互 联网 协会 反 垃圾 邮件 规范 ) 中 的 第 三 条 明确 指出 ,所 
谓 垃圾 邮件 是 指 包 括 具 有 以 下 属性 的 电子 邮件 : 

(1) 收 件 人 事先 没有 提出 要 求 或 者 同意 接收 的 广告 .电子 刊物 各 种 形式 的 宣传 品 等 电 
子 邮 件 。 

(2) 收 件 人 无 法 拒 收 的 电子 邮件 。 

(3) 隐藏 发 件 人 身份 .地 址 .邮件 标题 等 信息 的 电子 邮件 。 

(4) 含有 虚假 的 信息 源 、 发 件 人 、 路 由 等 信息 的 电子 邮件 。 

垃圾 邮件 就 是 未 经 接收 方 同意 而 大 量 散发 的 电子 邮件 。 垃 圾 邮件 的 发 送 者 往往 是 某 些 
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想 利用 互联 网 致富 的 人 ,或 者 持 有 特定 政治 意图 的 人 ,他 们 借以 垃圾 邮件 的 模式 进行 广告 散 
播 或 发 表 政 治 言论 。 

垃圾 邮件 在 互联 网 传播 并 横行 泛滥 ,消耗 大 量 的 互联 网 资源 ,主要 原因 是 : 

(1) 在 SMTP 协议 的 电子 邮件 系统 中 发 件 人 和 收 件 人 的 邮箱 地 址 是 明文 传输 的 ,人 们 
很 容易 从 互联 网 主干 的 数据 流 中 过 滤 收 集 到 大 量 的 用 户 邮 箱 地 址 ,作为 垃圾 邮件 的 收 件 
地 址 。 

(2) 简单 邮件 传输 协议 是 一 个 * 推 "协议 , 即 发 件 人 不 需要 经 过 收 件 人 的 同意 ,就 可 以 向 
他 的 邮箱 发 送 电 子 邮件 。 要 解决 垃圾 邮件 问题 ,必须 综合 应 用 法 律 .技术 等 手段 ,本 节 简 要 
探讨 防范 垃圾 电子 邮件 泛滥 的 技术 手段 。 

1. 常见 的 反 垃 圾 邮件 技术 

反 垃圾 邮件 的 产品 按照 所 采用 的 技术 ,可 分 为 以 下 4 类 : 

第 1 类 技术 : 利用 IP 地 址 过 滤 , 关 键 字 过 滤 , 黑 白 名 单 ,邮件 (附件 ) 容 量 大 小 控制 ,以 
及 SMTP 连接 时 间 、 频 度 等 控制 手段 进行 垃圾 邮件 的 判别 。 

第 2 类 技术 : 通过 基于 统计 算法 (如 贝 叶 斯 等 ) 的 智能 内 容 过 滤 进 行 垃圾 邮件 的 区 分 。 

第 3 类 技术 : 通过 对 垃圾 邮件 发 送行 为 特征 的 研究 和 统计 ,进行 行为 识别 来 辨别 垃圾 
邮件 。 

第 4 类 技术 : 互 免 技术 ,是 新 型 的 反 垃圾 邮件 技术 。 

上 述 第 1 类 和 第 2 类 技术 的 缺陷 是 误 报 率 高 ,处 理性 能 较 低 .语言 依赖 性 强 ,非常 不 适 
合 在 网 关 处 使 用 。 这 是 因为 第 1 类 和 第 2 类 的 过 滤 技 术 , 始 终 没有 跳出 内 容 匹 配 过 滤 的 技 
术 局 限 。 它 们 需要 将 邮件 完整 地 接收 下 来 后 ,对 邮件 内 容 按照 指定 语言 进行 分 词 处 理 ,并 与 
一 个 具有 数 以 百 万 计 的 词 库 进 行 逐一 匹配 ,从 而 判断 该 邮件 是 否 为 垃圾 邮件 。 由 于 仅仅 是 
对 孤立 的 词语 进行 匹配 ,抛弃 了 人 类 语言 最 重要 的 特性 : 连贯 性 ,就 无 法 正确 判别 邮件 的 真 
实 含义 (比如 “六 合 彩 ” 与 “反对 六 合 彩 "就 表达 了 完全 不 同 的 含义 ), 从 而 造成 邮件 的 大 量 误 
判 。 同 时 ,由 于 这 两 种 技术 需要 进行 大 量 的 匹配 运算 ,对 CPU 和 内 存 的 占用 极 高 ,这 就 很 
容易 成 为 过 滤 处 理 瓶 颈 。 另 外 , 某 些 垃圾 邮件 (例如 推销 毒品 的 邮件 ?对 正文 采用 了 特殊 的 
处 理 (比如 在 关键 词 中 间 插 入 符号 , 像 * 政 . 府 . ”",“ 发 // 票 "等 ), 或 者 是 在 附件 中 放 上 宣传 
内 容 的 zip 压缩 包 或 是 扫描 为 图 片 格式 ,这 样 更 不 容易 过 滤 。 

2. 贝 叶 斯 垃圾 邮件 过 滤 技 术 

贝 叶 斯 是 基于 概率 统计 的 一 种 算法 ,是 数学 家 Thomas Bayes 所 创建 ,目前 此 种 算法 用 
于 过 滤 垃 圾 邮件 得 到 广泛 地 好 评 。 贝 叶 斯 过 滤器 是 基于 “自我 学 习 ” 的 智能 技术 ,能 自 适 应 
鉴别 垃圾 邮件 ,同时 为 合法 电子 邮件 提供 保护 。 贝 叶 斯 过 滤 算 法 的 基本 步骤 是 : 

(1) 收集 大 量 的 垃圾 邮件 和 非 垃圾 邮件 ,建立 垃圾 邮件 集 和 非 垃圾 邮件 集 。 

(2) 提取 邮件 主题 和 报 文 中 的 独立 字符 串 ,例如 XYZ、6435 等 作为 TOKEN 标记 串 ,并 
统计 这 些 TOKEN 标记 串 出 现 的 次 数 ( 即 字 频 )。 照 此 方法 分 别处 理 垃圾 邮件 集 和 非 垃圾 
邮件 集中 的 所 有 邮件 。 

(3) 每 一 个 邮件 集 对 应 一 个 哈 希 表 ( 见 第 10 章 ) 。 

(4) 计算 每 个 哈 希 表 中 TOKEN 串 出 现 的 概率 P 一 ( 某 TOKEN 串 的 字 频 )/( 对 应 哈 希 
表 的 长 度 ) 。 

(5) 推断 出 当 新 来 的 邮件 中 出 现 某 个 TOKEN 串 时 ,该 新 邮件 为 垃圾 邮件 的 概率 。 
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(6) 建立 新 的 哈 希 表 存 储 TOKEN 串 ti 到 P(A|ti) 的 映射 。 

(7) 至 此 ,垃圾 邮件 集 和 非 垃圾 邮件 集 的 学 习 过 程 结束 。 根 据 建立 的 哈 希 表 可 以 估计 
一 封 新 到 的 邮件 为 垃圾 邮件 的 可 能 性 。 

贝 叶 斯 过 滤 算 法 举例 : 一 封 含 有 六合彩? 字样 的 垃圾 邮件 A 和 一 封 含有 “六 月 ?字样 的 
非 垃圾 邮件 B。 根 据 邮 件 A 生成 哈 希 表 , 计 算得 出 * 六 ”“ 合 ”“ 彩 ”出 现 的 概率 各 为 0. 3; 而 
根据 邮件 也 生成 哈 希 表 计 算得 “六 “月 ?出现 的 概率 各 为 0.5。 综 合 考虑 两 个 哈 希 表 , 共 有 
四 个 TOKEN 串 : 六 、 合 . 彩 月 。 

(1) 当 邮 件 中 出 现 “ 六 ”时 ,该 邮件 为 垃圾 邮件 的 概率 为 : P 一 0.3/(0.3 十 0.5) 王 0.375。 

(2) 出 现 “ 合 "时 ,该 邮件 为 垃圾 邮件 的 概率 为 : P==0. 3/(0.3 十 0) 二 1。 

(3) 出 现 “ 彩 "时 ,该 邮件 为 垃圾 邮件 的 概率 为 : P= 二 0.3/(0. 3 十 0) 二 1。 

(4) 出 现 * 月 ?时 ,该 邮件 为 垃圾 邮件 的 概率 为 : Dt 5)= 0。 

(5) 由 此 可 得 第 3 个 哈 希 表 , 其 数据 为 : 六 : 0.375, 合 : 1, 彩 : 1, 月 : 0。 

(6) 当 新 到 一 封 含有 * 彩 月 ”的 邮件 时 ,可 得 到 两 个 TOKEN Rs 彩 、 月 。 

(7) 查询 哈 希 表 可 得 : P (垃圾 邮件 | 彩 )= 二 1; P( 垃 圾 邮件 | 月 ) 二 0。 

(8) 此 时 该 邮件 为 垃圾 邮件 的 可 能 性 为 : P=(0* 1)/[0x1 十 (1 一 0) * (1 一 1)]==0。 

(9) 由 此 可 推断 该 邮件 为 非 垃 圾 邮件 。 

贝 叶 斯 过 滤器 纯粹 根据 统计 学 规律 来 操作 , 比 起 那些 分 析 邮 件 句法 或 内 容 含义 的 过 滤 
器 要 简单 得 多 ,而 且 可 计算 性 强 。 更 重要 的 是 ,这 些 标记 完全 可 以 由 用 户 自 定义 来 区 分 垃圾 
邮件 和 非 垃圾 邮件 ,因此 得 到 的 过 滤器 是 独一无二 的 。 垃 圾 邮件 发 送 者 根本 无 法 破解 这 种 
过 滤器 的 配置 。 

不 过 ,尽管 贝 叶 斯 过 滤器 非常 有 效 ,但 它 仍 需要 进行 优化 才能 真正 完美 。 也 存在 自身 无 
法 克服 的 缺陷 : 仅仅 是 对 孤立 的 词语 进行 匹配 ,忽视 了 语言 的 连贯 性 , 误 判 率 比 较 高 。 如 果 
垃圾 邮件 的 内 容 采用 图 形 文件 ,或 字符 串 间 加 入 符号 等 方式 传输 ,那么 贝 叶 斯 垃圾 邮件 过 滤 
技术 就 无 效 了 。 

3. Sender ID 技术 

20 世纪 70 年 代 制定 的 简单 电子 邮件 协议 ,缺乏 必要 的 身份 认证 ,允许 发 信人 伪造 绝 大 
多 数 的 发 信人 特征 信息 ,如 发 信和 人、 信件 路 由 等 。 发 信人 可 以 通过 匿名 转发 .开放 转发 和 开 
放 代理 等 手段 进行 伪装 和 隐藏 自己 ,可 几乎 完全 抹 去 垃圾 邮件 的 发 信人 特征 。 这 对 于 发 现 、 
追踪 和 制止 垃圾 邮件 的 传播 造成 了 很 大 的 困难 。SMTP 在 互联 网 发 展 初期 是 符合 当时 的 
实际 情况 的 。 但 随 着 互联 网 的 发 展 , 其 先天 不 足 越发 凸显 。 但 是 .出 于 兼容 性 的 要 求 ,几乎 
不 可 能 采用 新 协议 替代 它 。Sender ID 反 垃 圾 邮件 技术 应 运 而 生 。 

Sender ID 技术 是 指 SMTP 通信 过 程 中 对 邮件 来 源 进 行 检查 的 一 种 技术 。 工 作 流 程 
如 下 : 

第 1 步 : 发 信人 使 用 自己 的 PC 机 撰写 一 封 邮件 ; 

第 2 步 : 撰写 完毕 ,PC 机 通过 SMTP 客户 协议 发 送 该 邮件 到 接收 邮件 服务 器 ; 

第 3 步 : 接收 邮件 服务 器 通过 Sender ID 技术 对 发 信人 所 声称 的 身份 进行 检查 ,该 检查 
通过 DNS 的 特定 查询 进行 ,核对 发 信人 地 址 的 域名 与 IP 地 址 是 否 一 致 ; 

第 4 步 : 如 果 通 过 检查 ,发 现 发 信人 所 声称 的 身份 和 其 发 信 IP 地 址 相 匹 配 ,那么 接收 
该 邮件 ,否则 对 该 邮件 采取 特定 操作 ,比如 直接 拒 收 该 邮件 。 
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Sender ID 技术 的 运行 需要 有 邮件 发 送 方 和 邮件 接收 方 服务 器 的 支持 。 邮 件 发 送 方 的 
支持 主要 有 三 个 部 分 : 发 信人 增加 特定 的 DNS 资源 记录 以 表明 其 发 信 身 份 , 发 信人 在 发 送 
邮件 中 增加 SUBMITTER 扩展 。 发 信人 根据 情况 在 其 邮件 中 增加 Resent-Sender、Resent- 
From、Sender 和 From 等 信 头 。 邮 件 接收 方 服务 器 的 支持 有 收 信人 对 收 到 的 源 邮 件 地 址 信 
息 进行 DNS 域名 查询 ,通过 特定 的 DNS 资源 记录 检查 其 发 信人 的 身份 。 这 些 检 查 的 信息 
包括 EHLO/HELO 信息 MAIL FROM 信息 、 信 头 中 特定 的 字段 信息 等 。 

Sender ID 技术 利用 了 垃圾 邮件 发 送 的 一 个 重要 特征 , 那 就 是 垃圾 邮件 总 是 想方设法 地 
掩盖 其 发 送 来 源 , 这 样 可 以 避免 被 阻挡 .追踪 和 和 逃避 法 律 责任 。 因 此 ,Sender ID 技术 可 以 对 
垃圾 邮件 的 生存 进行 有 效 的 打击 。 

但 Sender ID 技术 只 是 对 邮件 发 送 源 的 身份 核查 来 进行 判断 的 技术 ,不 能 鉴定 一 个 邮 
件 是 否 是 垃圾 邮件 。 比 如 ,垃圾 邮件 发 送 者 可 以 通过 注册 廉价 的 域名 来 发 送 垃圾 邮件 ,这 一 
切 都 是 符合 规范 的 。 另 外 ,垃圾 邮件 发 送 者 还 可 以 利用 合法 的 邮件 服务 器 的 漏洞 转发 其 垃 
圾 邮件 ,这 也 是 Sender ID 技术 所 不 能 解决 的 。 

4. 行为 识别 技术 

行为 识别 技术 基于 对 垃圾 邮件 固有 特征 进行 分 析 统 计 。 利 用 统计 学 原理 检测 垃圾 邮 
件 , 进 行 特 征 采样 而 构成 数学 模型 。 比 如 “六 合 彩 ” 大 量 攻击 时 ,会 出 现 同样 的 邮件 同时 来 自 
500 个 IP 源 ,这 明显 是 恶意 攻击 的 特征 。 一 封 邮件 不 可 能 从 大 量 的 不 同 IP 地 址 发 过 来 。 
反之 ,如 果 某 个 IP 主机 一 分 钟 发 了 一 万 份 邮件 ,就 不 一 定 是 垃圾 邮件 。 这 是 单 指标 模型 还 
是 多 指标 模型 之 间 的 不 同 。 这 样 就 构造 了 行为 识别 的 模型 。 垃 圾 邮件 发 送行 为 主要 分 为 以 
下 四 种 ， 

(1) 邮件 滥 发 行为 : 垃圾 邮件 发 送 者 登录 邮件 服务 器 进行 联机 查询 或 投递 邮件 ,尝试 
各 种 方式 投递 邮件 ,发 件 主机 异常 变动 等 行为 。 

(2) 邮件 非法 行为 : 垃圾 邮件 发 送 者 借用 各 地 的 多 个 开启 了 Open Relay 邮件 转发 功能 
的 邮件 服务 器 来 发 送 邮 件 的 行为 。 

(3) 邮件 匿名 行为 : 将 发 件 人 ,发 件 主机 或 邮件 传输 信息 刻意 隐匿 ,使 得 无 法 追溯 其 来 
源 的 行为 。 

(4) 邮件 伪造 行为 : 发 件 人 、 收 件 人 ,发 件 主机 或 邮件 传输 信息 经 过 刻意 伪造 ,经 查证 
不 属实 的 行为 。 

通过 对 以 上 各 种 行为 的 研究 ,建立 行为 识别 的 模型 成 为 能 否 正确 地 识别 垃圾 邮件 的 关 
键 。 采 用 邮件 来 源 回溯 技术 ,能 够 深入 数据 层 追 踪 到 邮件 的 原始 传输 信息 。 对 于 伪造 发 信 
人 和 发 信服 务 器 ,不 断 变 化 发 信人 的 IP 地 址 ,以 字典 攻击 的 方式 群发 ,发 信 的 频 度 异 常 , 发 
信 的 时 间 规 律 , 虚 假 的 SMTP 路 由 信息 等 多 种 可 能 的 垃圾 邮件 发 送行 为 ,由 此 区 分 每 一 封 
垃圾 邮件 。 

5. 邮件 服务 器 之 间 的 互 免 技术 

互 免 技术 是 在 多 个 互联 网 邮件 服务 商 的 邮件 服务 器 之 间 建 立 相互 信任 关系 ,发 信 
用 户 的 邮件 本 身 放 在 发 送 方 服务 器 的 发 信箱 内 .SMTP 服务 器 之 间 传 递 的 是 邮件 位 置 
指针 。 

目前 ISP 所 提供 的 都 是 使 用 SMTP/ESMTP 协议 进行 收发 邮件 的 普通 服务 器 ,而 互 免 
服务 器 则 兼容 并 使 用 ESMTP, 同 时 采用 互 免 垃 圾 邮件 技术 进行 收发 电子 邮件 。 
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发 信 过 程 ， 

(1) 双方 服务 器 握手 ,测试 收 信 方 是 否 也 为 互 免 服务 器 。 

(2) 如 收 信 方 不 是 互 免 服务 器 , 即 为 普通 服务 器 , 则 按 正常 的 发 信 过 程 发 送 邮 件 本 身 。 
此 时 作为 发 信 方 的 互 免 服务 器 退化 为 普通 服务 器 。 

(3) 如 收 信 方 是 互 免 服务 器 , 则 仅仅 传递 邮件 的 指针 ,而 不 传递 该 邮件 本 身 , 邮 件 本 身 
放 在 发 信者 的 发 信箱 内 。 

收 信 过 程 : 邮件 收 信人 收 到 邮件 指针 后 ,直接 访问 发 信人 的 邮件 服务 器 ,从 发 信人 的 邮 
箱 读 取 邮件 。 这 种 方法 也 可 以 向 任意 收 信人 提供 超大 容量 的 邮件 附件 下 载 。 

采用 互 免 技术 ,垃圾 制造 者 根本 不 知道 收 信者 是 否 阅 读 过 垃圾 邮件 ,并 且 邮 件 本 身 放 在 
垃圾 制造 者 的 发 信 空 间 ,消耗 其 自己 的 网 络 资源 。 无 论 邮 件 指 针 是 否 经 过 多 次 转发 , 仍 能 从 
中 追踪 邮件 的 发 送 者 。 当 然 互 免 技 术 必 须要 求 双方 都 要 使 用 互 免 邮件 服务 器 ,才能 互相 抑 
制 垃圾 邮件 。 因 此 实际 应 用 时 至 少 需要 两 个 以 上 大 型 ISP 的 支持 ,才能 有 效果 。 

还 有 一 种 有 效 的 方法 是 : 利用 SSL/TLS 的 https 协议 将 用 户 登 录 邮 件 服务 器 时 发 送 
的 邮箱 地 址 和 口令 加 密 , 防 止 被 黑客 捕获 与 收集 ,也 就 抑制 了 垃圾 邮件 的 发 送 范 围 ,参见 第 
11 章 11.2.3 节 。 


6.7 本 童 要 点 


(1) 互联 网 的 电子 邮件 系统 使 用 的 协议 包括 SMTP、POP3 IMAP4 MIME .HTTP 等 。 
电子 邮件 的 用 户 代 理 编辑 邮件 报 文 , 形 成 信封 报头 ,并 将 报 文 放 在 信封 和 内。 电子 邮件 信息 安 
全 保护 的 协议 有 : 本 章 介绍 的 安全 多 功能 互联 网 邮件 扩展 协议 ,第 11 章 将 介绍 PGP 协议 ， 
以 及 得 到 广泛 应 用 的 基于 浏览 器 和 SSL/TLS 协议 的 电子 邮件 系统 。 

(2) SMTP 协议 使 用 命令 和 响应 在 邮件 客户 端 向 服务 器 端 传输 邮件 报 文 , 这 是 一 个 
“ 推 ? 的 协议 。 发 送 邮 件 有 3 个 步骤 : 建立 连接 ,传输 报 文 ,传输 结束 后 终止 连接 。POP3 和 
IMAP4 用 于 从 邮件 服务 器 收取 邮件 ,这 是 * 拉 ?的 协议 。MIME 可 以 让 用 户 通过 邮件 传送 
多 媒体 等 二 进 制 数据 信息 ,常用 Base-64 编码 对 传输 文件 进行 格式 的 转换 。 

(3) FTP 传输 文件 时 ,需要 建立 两 个 连接 : 控制 连接 和 数据 连接 。 在 传输 文件 之 前 ， 
FTP 客户 端 要 通过 控制 连接 与 FTP 服务 器 定义 文件 类 型 .数据 结构 和 传输 模式 。FTP 文 
件 传输 有 3 类 : 将 文件 从 FTP 服务 器 复制 到 客户 端 ;将 文件 从 客户 端 复制 到 服务 器 端 ;将 
文件 名 或 文件 列表 从 FTP 服务 器 传 给 客户 机 。 匿 名 FTP 可 以 向 公众 提供 文件 下 载 和 
访问 。 

(4) 浏览 器 解释 和 显示 收 到 的 Web 文档 ,形成 网 页 。 它 由 控制 器 .客户 程序 和 解释 器 
构成 。Web 文档 可 分 为 3 类 : 静态 文档 ,动态 文档 ,活动 文档 。 静 态 文档 是 固定 的 ,存储 在 
Web 服务 器 中 。 客 户 不 能 修改 服务 器 中 的 文档 。 静 态 文档 的 语言 是 超 文本 标记 语言 。 动 
态 文档 方式 要 等 到 收 到 客户 的 请 求 后 ,服务 器 才 生 成 动态 的 Web 文档 。 用 公共 网 关 接 口 
(CGD 产 生 和 处 理 动态 Web 文档 。 活 动 文档 是 客户 机 从 服务 器 收 到 的 一 个 程序 的 副本 , 运 
行 于 客户 端的 浏览 器 。 程 序 员 使 用 Java 等 编程 工具 生成 活动 文档 。 

(5) 超 文本 传输 协议 是 访问 万 维 网 的 最 常用 协议 ,使 用 TCP 连接 来 传输 文件 。HTTP 
的 报 文 与 SMTP 报 文 相似 ,HTTP 客户 的 请 求 行 中 包括 请 求 类 型 .要 获取 文件 的 URL .使 
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用 的 HTTP 版 本 号 。 

(6) 统一 资源 定位 符 的 构成 :[ 访 问 采用 的 协议 ]: //[ 主 机 标识 ]: 端 口号 /文件 存放 的 
路 径 /文件 名 。HTTP 的 响应 报 文 给 出 了 服务 器 的 配置 ,关于 请 求 的 信息 和 访问 文件 的 
信息 。 

(7) Cookie 在 Web 应 用 方面 为 访问 者 和 编程 者 都 提供 了 很 大 的 方便 ,可 以 提高 Web 
浏览 的 速度 ,然而 从 安全 方面 考虑 是 有 问题 的 。 可 能 引发 个 人 隐私 的 泄漏 和 黑客 人 侵 等 安 
全 隐患 ,在 微软 的 浏览 器 IE 6. 0 中 提供 了 关于 Cookie 的 安全 等 级 设置 。 


习题 与 实践 


1. 为 什么 在 FTP 中 需要 建立 两 条 连接 (控制 连接 和 数据 连接 ) 而 在 SMTP 中 只 需要 
条 TCP 连接 ? 

2. 在 图 6.16 和 图 6.17 中 给 出 了 用 浏览 器 访问 www. sina. com. cn 的 DNS 域名 查询 
和 响应 报 文 的 案例 ,但 是 图 中 没有 展开 DNS 数据 包 中 的 丰富 信息 ,请 在 自己 的 计算 机 上 利 
用 Wireshark 实验 捕获 该 案例 的 数据 包 , 并 展开 包 中 的 全 部 信息 , 写 出 实验 报告 。 该 域名 有 
多 少 个 IP 地 址 ? 授权 服务 器 的 域名 是 什么 ? 授权 服务 器 的 IP 地 址 是 什么 ? 该 查询 是 使 用 
递归 解析 还 是 迭代 解析 ? 分 析 比 较 DNS 递归 解析 和 选 代 解 析 的 安全 性 。 

3. 登录 自己 注册 的 电子 邮件 服务 器 ,发 送 身份 认证 的 用 户 名 和 口令 ,利用 Wireshark 
将 这 些 网 络 数据 捕获 后 ,从 中 找到 POST 的 数据 包 , 从 中 能 否 取出 自己 的 用 户 名 和 口令 ? 
传输 中 可 采用 哪些 方法 保护 口令 的 安全 ? 你 使 用 的 电子 邮件 系统 是 采用 PAP 还 是 CHAP 
进行 身份 认证 ? 

4. HTTP 协议 能 用 于 有 效 地 传输 现场 的 音频 和 视频 吗 ? 为 什么 ? 捕获 自己 的 计算 机 
浏览 器 访问 www. sina. com 首页 的 网 络 数据 ,从 中 提取 并 分 析 HTTP 1.0 和 HTTP 1.1 数 
别 , 以 及 各 自 的 应 用 领域 。 

. 要 从 HTTP 服务 器 获取 网 页 文档 ,请 求 行 中 应 包括 方法 。 
a "GET b. HEAD c;. POST 水 PUT 

6. 按照 本 章 介 绍 的 方法 查看 自己 计算 机 中 浏览 器 的 临时 互联 网 文件 夹 ,是 否 有 Cookie 
文件 ?分 析 这 些 Cookie 的 内 容 , 收 件 人 地 址 .有效 期 等 。 写 出 分 析 报 告 。 

7. 改变 自己 网 络 计算 机 的 IE 6.0 浏览 器 中 对 Cookie 的 隐私 级 别 设置 ,实验 和 分 析 不 
同 级 别 的 设置 对 Web 访问 速度 等 的 影响 。 

8. FTP 被 利用 进行 跳 转 攻击 的 工作 原理 是 怎样 的 ? FTP 的 控制 通道 能 输送 数据 吗 ? 

9. 简 述 用 HTTP 的 请 求 方法 POST 通过 网 络 传输 用 户 身份 认证 的 口令 时 存在 的 安全 
漏洞 ,如 何 将 CHAP 协议 用 到 POST 请 求 中 ? 在 有 些 邮 件 系统 中 ,客户 向 服务 器 申请 认证 
时 传输 的 不 是 口令 ,而 是 口令 的 MD5 哈 希 值 ,这 有 什么 好 处 ? 

10. 垃圾 邮件 的 制造 者 通常 在 他 们 发 送 的 邮件 中 加 入 伪造 的 邮件 头 部 ,怎样 伪造 呢 ? 
他 们 这 么 做 能 得 到 什么 好 处 ? 何 种 安全 防护 措施 适合 用 来 检测 这 种 伪造 ? 

11. HTTP 指定 了 要 传输 对 象 的 长 度 ,SMTP 用 一 些 特殊 的 字符 来 表示 邮件 的 结束 , 那 
么 在 SMTP 中 指定 报 文 长 度 容 易 吗 ? 为 什么 ? (提示 : 电子 邮件 的 非 ASCII 编码 的 附件 文 
件 用 Base-64 编码 变换 后 , 报 文 长 度 产 生 了 变化 :增加 了 8/6 倍 .) 
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12. 垃圾 邮件 已 经 成 为 互联 网 上 的 “瘟疫 ”, 分 析 讨 论 在 你 使 用 的 电子 邮件 系统 中 采用 
了 哪些 反 垃 圾 邮件 技术 ? 垃圾 邮件 发 送 者 是 如 何 知道 你 的 电子 邮箱 地 址 的 ? 利用 
Wireshark 捕获 你 发 送 的 电子 邮件 数据 ,从 中 找到 答案 , 写 出 分 析 报告 。 

13. 用 浏览 器 访问 提供 Base-64 编码 转换 服务 的 网 址 http://tool. chinaz. com/Tools/ 
base64. aspx, 在 该 网 页 上 进行 Base-64 的 编码 和 译 码 实验 ,同时 用 手工 查 编码 表 6. 11 和 附 
录 下 进行 编码 ,验证 二 者 的 结果 。 写 出 实验 报告 。 

14. 当 你 用 电子 邮件 的 附件 传输 jpeg 格式 或 其 他 格式 的 电子 照片 时 ,会 发 现 邮件 的 数 
据 量 大 于 照片 的 数据 量 。 请 解释 这 是 什么 原因 。 

15. 研究 自己 计算 机 浏览 器 的 Internet 选项 中 Cookie 控制 对 话 框 ,是 否 可 选 完全 禁用 
Cookie? 禁用 Cookie 后 ,访问 某 些 互联 网 应 用 ,如 BBS 等 ,会 出 现 何 种 现象 ? 
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第 7 章 网 络 故 障 诊断 与 信息 安全 分 析 工 具 


学 习 网 络 与 信息 安全 技术 知识 的 最 有 效 的 方法 是 边 学 习 边 实践 。 本 章 介绍 网 络 日 常 监 
测 .故障 分 析 .数据 捕获 与 安全 分 析 的 手段 与 措施 , 主要 介绍 两 类 软件 工具 : 微软 Windows 
操作 系统 中 的 常用 网 络 维护 测试 命令 ;网 络 数据 捕获 与 分 析 工 具 的 分 类 ,以 及 著名 的 网 络 协 
议 分 析 软 件 Wireshark。 本 书 中 各 章 的 网 络 数据 分 析 案 例 都 是 使 用 本 章 介绍 的 软件 工具 进 
行 的 ,希望 能 够 利用 本 章 的 方法 重复 实践 这 些 案例 。 

网 络 维护 测试 命令 已 成 为 网 络 用 户 和 管理 人 员 、 网 络 工程 技术 人 员 日 常 检测 网 络 性 能 
及 排除 一 般 性 网 络 故 障 的 重要 软件 工具 。 本 章 首先 介绍 微软 Windows 的 “命令 提示 符 ” 界 
面 上 常用 的 命令 : Ping 连通 性 测试 命令 、Tracert 网 络 路 径 跟 踪 命 令 、Telnet 虚拟 终端 远程 
登录 命令 、Netstat 网 络 运 行 状态 信息 命令 ,ARP 地 址 解析 协议 命令 、IPconfig 网 络 IP 参数 
配置 信息 命令 .net 命令 等 。 请 在 较 短 时 间 内 掌握 这 些 十 分 有 用 的 命令 的 用 法 。 

网 络 诊断 的 另 一 类 方法 是 实时 捕获 数据 包 并 分 析 这 些 数据 包 内 的 信息 ,从 而 得 出 诊断 

报告 。 第 2 节 介 绍 了 网 络 数据 包 捕 获 的 基本 原理 ,以 及 著名 的 开源 网 络 协议 分 析 软 件 
Wireshark 的 使 用 方法 。 可 登录 http://www. wireshark. org 免费 下 载 Wireshark 的 最 新 
版 本 以 及 实验 教 辅 资料 。 学 习 使 用 Wireshark ,必须 把 握 以 下 几 点 : 
(1) 由 浅 入 深 、 循 序 渐进 地 对 网 络 数据 进行 捕获 与 分 析 , 逐 渐 深入 理解 网 络 的 工作 原 
理 , 尤 其 是 常用 的 20 多 个 TCP/IP 协议 族 的 工作 过 程 ,分 析 协 议 数据 单元 (PDU) 中 各 字段 
中 包含 的 信息 。 只 有 学 会 分 析 正 常 工作 的 网 络 实测 数据 ,才能 判断 异常 网 络 的 数据 特征 。 
建议 捕获 自己 网 络 计算 机 接口 上 的 数据 包 , 以 这 些 包 为 实验 数据 进行 各 种 网 络 安 全 和 协议 
的 分 析 练 习 。 例 如 ,从 网 络 数据 中 提取 自己 的 邮件 用 户 名 和 口令 ,获取 自己 发 送 的 电子 邮件 
内 容 , 这 样 才能 提高 对 网 络 安全 的 管理 和 分 析 能 力 。 

(2) Wireshark 具有 丰富 的 分 析 与 统计 功能 ,可 以 先 学 习 使 用 简单 的 捕获 过 滤器 和 显示 
过 滤器 等 。 实 际 捕获 到 的 网 络 数据 是 大 量 用 户 的 各 种 网 络 协议 数据 包 的 混杂 ,为 了 迅速 地 
追踪 到 安全 威胁 的 目标 ,必须 熟练 地 使 用 捕获 与 显示 过 滤器 ,这 样 可 极 大 地 提高 网 络 安全 监 
管 的 效率 。 结 合 本 书 的 教学 内 容 进 行 实践 ,逐步 深入 。 对 于 网 络 安全 管理 员 ,还 应 该 熟练 党 
握 各 种 数据 过 滤 表 达 式 的 书写 规则 。 

(3) Wireshark 是 一 个 功能 强大 ,开放 代码 的 网 络 协议 分 析 软 件 , 其 版 本 更 新 和 功能 扩 
展 十 分 迅速 。 国 外 很 多 大 学 网 站 还 提供 了 利用 Wireshark 进行 网 络 原理 教学 和 信息 安全 实 
验 的 资料 。 如 果 需 要 深入 研究 的 话 , 可 以 进一步 查阅 参考 文献 及 相关 网 站 。 


7.1 网 络 测试 常用 命令 


本 节 介 绍 Windows 命令 提示 符 中 常用 的 网 络 诊断 和 测试 工具 ,这 些 命令 提示 符 的 工具 
虽然 简单 ,但 是 可 以 方便 地 对 网 络 的 实时 状况 进行 一 些 了 解 。 网 络 故 障 将 导致 单位 部 门 的 
上 网 速度 减 慢 或 工作 停顿 ,一 个 优秀 的 网 络 用 户 和 管理 员 应 具备 网 络 数据 分 析 、` 检 测 和 解决 
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网 络 故障 的 能 力 。 除 了 某 些 经 验 丰 富 的 网 络 管理 员 所 描述 的 处 理 步骤 外 ,还 可 借助 有 效 的 
软件 工具 来 解决 网 络 运行 中 的 问题 。 这 些 工具 可 用 于 局 域 网 和 广域网 的 故障 检测 和 安全 诊 
断 。 这 些 指令 包括 Ping、Tracert、Telnet、Netstat、Arp 和 IPconfig 等 ,它们 都 运行 在 微软 
Windows 系统 的 命令 提示 符 模 式 下 。Ping 可 用 于 测试 一 个 主机 是 否 在 线 ;tracert 可 用 于 
测试 从 源 端 主机 到 目的 端 主机 之 间 的 网 络 路 径 ;netstat 用 于 提供 本 主机 的 网 络 状 态 信息 ; 
tcpdump 用 于 捕获 在 网 络 接口 上 能 接收 的 包 ; Telnet 与 标准 的 TCP/IP 的 应 用 ,可 作为 故障 
监测 的 工具 。 

在 Windows 命令 提示 符 中 常用 的 这 些 网 络 诊断 和 测试 命令 ,其 优点 是 : 简单 ,任何 一 
台 网 络 计算 机 上 都 可 使 用 。 而 缺点 是 : 不 是 图 形 化 的 界面 ,有 些 命令 要 经 常 使 用 才能 记 住 
和 熟悉 ,另外 只 能 检测 网 络 计算 机 当前 的 工作 状态 ,不 能 记录 和 查看 过 去 曾经 发 生 过 的 安全 
事件 。 

对 本 节 介 绍 的 各 种 测试 命令 都 应 当 进 行 实验 , 并 写 出 详细 分 析 报告 。 方 法 是 : 在 本 地 
网 络 计算 机 的 Windows 界面 下 , 单 击 “开始 "一 “程序 "一 "附件 ”一 “命令 提示 符 ”, 即 可 进入 
命令 提示 符 界面 进行 相关 操作 。 也 可 单 击 命令 提示 符 界面 左上 角 图 标 C:\, 从 下 拉 菜 单 中 
的 “属性 ” 栏 选择 字体 的 大 小 和 颜色 .将 界面 设 为 白 底 黑 字 。 从 下 拉 菜 单 中 的 “编辑 ” 栏 将 测 
试 数据 复制 到 Word 文档 中 ,加 入 自己 的 分 析 和 解释, 写 出 实验 报告 。 


7.1.1 PING 在 线 连 通 性 测试 命令 


Ping 可 以 方便 地 应 用 于 检测 一 台 网 络 主机 是 否 连接 在 线 。 它 的 名 称 据说 是 来 自 于 模 
仿 声 呐 探 测 水 下 物体 的 声音 , 另 一 种 说 法 是 来 自 Packet Internet Groper 的 简写 。Ping 利用 
互联 网 控制 报 文 协 议 (ICMP) 工 作 , 发 送 方向 目的 主机 的 域名 或 IP 地 址 发 出 一 个 报 文 ,根据 
目的 主机 返回 的 报 文 判断 IP 包 在 传输 处 理 过 程 中 的 错误 ,以 及 目的 主机 或 路 由 器 的 其 他 控 
制 信息 ， 它 在 TCP/IP 协议 族 中 的 位 置 如 图 1. 15 所 示 。Ping 发 送 一 个 或 多 个 ICMP 响应 

请 求 报 文 (echo request) 给 指定 的 主机 并 请 求 返 回 一 个 应 答 。Ping 可 用 于 检测 两 台 主机 间 
的 往返 传输 延迟 时 间 。 发 送 方 发 送 一 个 ICMP 的 类 型 代码 为 8 的 请 求 回应 的 数据 包 ,以 及 
一 个 序列 号 来 检测 包 的 丢失 、 乱 序 和 重复 包 。 接 收 方 收 到 此 包 后 将 包 中 的 类 型 代码 转换 为 
Echo Reply 的 类 型 代码 0, 并 向 源 主 机 返 送 回 此 数据 包 。 任 何 安 装 了 TCP/IP 协议 的 计算 
机 都 可 对 Ping 作出 应 答 。 然 而 随 着 网 络 安全 措施 的 增加 ,如 果 目 的 主机 设置 了 防火 墙 的 
“拒绝 Ping” 的 参数 后 ,此 Ping 的 探测 并 不 总 是 成 功 的。 不 管 怎样 ,Ping 始终 是 测试 主机 连 
通 性 的 首选 。 

此 命令 的 最 简单 格式 为 ping 二 主机 域名 或 IP 地 址 之 。 本 地 主机 在 发 送 Ping 命令 后 ， 
该 程序 就 发 送 一 个 互联 网 控制 报 文 协议 (ICMP) 的 请 求 回应 包 给 远 端 目标 主机 。 当 远 端 机 
收 到 此 回应 请 求 包 后 ,立即 返回 一 个 响应 包 给 源 主机 。 然 后 就 显示 出 数据 包 在 传输 过 程 中 
的 往返 时 间 , 还 有 生存 期 (time to live,TTL) 值 。TTL 指定 了 IP 包 在 网 络 中 可 经 过 的 最 大 
网 段 数 。 每 次 IP 包 经 过 一 个 路 由 器 ,TTL 减 1。 当 TTL 为 0 时 , 包 被 丢弃 ,然后 返回 一 
消息 给 源 主 机 。 下 面 实例 中 对 收 到 的 echo_reply 应 答 包 进 行 分 析 。 

1. Ping 的 命令 格式 


C:\Documents and Settings\test>ping[-t][-a][-n count][-1 size] [-£][-i TTL] 
[~-v TOS] [-r count][-s count][[-j host-1ist] |[-k host- list]] [-w timeout]target name 
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C:\¥INDOYS\systen32\cad. exe 


icrosoft Windows XP [Uersion 5.1.2688] 


Ping 目 标 主 机 
的 人 P 地 址 


CC> Copyright 1985-2881 Microsoft Corp. 
:\Docunents and Settings\??Xping 192.168.2. 


hytes of data: 


bytes=32 time=44ms TIL=61 
bytes=32 time=43ms IIL=61 
= 3 tine=45ms TTL=61 
2 es ne=44ms_ FFE=6 


REVIy Fron 192.168.2.1: 
Reply fron 192:168 
Ren from 1' 


发 出 的 4 个 
包 的 应 答 信息 


收 到 的 4 个 应 答 
包 的 统计 信息 


图 7.1 利用 Ping 目标 主机 的 卫 地 址 探测 网 络 连通 性 能 


上 述 命令 中 的 目的 主机 名 (target_name) ,可 以 是 IP 地 址 或 域名 。 下 面 是 几 个 实例 : 


(1)【 命 令 】 ping -t 运 目的 主机 名 之 


【功能 】 连续 发 送 Ping 给 指定 的 主机 直到 中 止 操 作 。 若 要 观察 返回 信息 的 统计 并 继 
续 执 行 该 命令 , 则 请 按 下 Ctrl 十 Break 键 , 若 要 停止 则 按 下 Ctrl 十 C 键 。 
【实例 】 C:\Documents and Settings 二 ping -t www. sei. ynu. edu. cn 


Pinging sei.ynu.edu.cn[202 .203 .208 .100] with 32 bytes of data: 获得 域名 与 IP 地 址 的 转换 


Reply from 202.203.208.100: bytes=32 time< lms TTI= 254 
Reply from 202.203.208.100: bytes=32 time= 3ms TTL= 254 
Ping statistics for 202.203.208.100: 
Packets: Sent=2, Received=2, Lost=0 (0%1o0ss), 
Approximate round trip times in milli- seconds: 
Minimum= Oms, Maximum= 3ms, Average= lms 


Ctri=C 


(2) 【命令 】 ping -a 去 目的 主机 名 之 


收 到 32 字 节 的 包 


统计 传输 结果 

发 送 与 接收 的 丢 包 率 
平均 往返 延 时 

中 止 操作 


【功能 】 将 目的 主机 名 解析 出 对 应 的 IP 地 址 ,并 且 ping 该 地 址 。 
【实例 】 用 Ping 探测 搜索 引擎 网 站 Google, 包 被 转发 到 最 近 的 一 个 Google 代理 服 


务 器 。 


C:\Documents and Settings>ping -a www.google.com 


Pinging www- china.1.google.com[64.233.189.104 ] with 32 bytes of data: 


Reply from 64.233.189.104: bytes=32 time= 92ms TTI= 242 
Reply from 64.233.189.104: bytes=32 time=93ms TTI= 242 
Request timed out. 
Reply from 64.233.189.104: bytes=32 time= 95ms TTI= 242 
Ping statistics for 64.233.189.104: 

Packets: Sent=4, Received=3, Lost=1 (25% loss), 
Approximate round trip times in milli- seconds: 


Minimum= 92ms, Maximum= 95ms, Average= 93ms 
(3)【 命 令 】 ping -n (数量 ) 二 目的 主机 名 二 


【功能 】 设 定 要 发 送 的 回应 请 求 echo 数据 包 个 数 为 n。 
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被 转 到 离 用 户 最 近 的 服务 器 
第 1 个 应 答 包 的 TTL 为 242 
第 2 个 应 答 包 
第 3 个 包 因 超 时 判断 为 丢失 
第 4 个 应 答 包 
对 收 到 的 应 答 包 统计 分 析 : 
统计 丢 包 率 25% 


数据 包 往返 平均 延 时 


【实例 】 C:\Documents and Settings 二 ping -n 2 www. google. com( 设 定 只 发 
2 个 包 ) 。 

(4)【 命 令 】 ping -1 ( 包 长 ) 二 目的 主机 名 二 。 

【功能 】 发 送 指定 长 度 的 回应 echo 数据 包 ( 单 位 为 字 节 ) 。 

【实例 】 C:\Documents and Settings 之 ping -1 20 www. google. com( 设 定 包 长 20 字 节 ) 。 

(5)【 命 令 】 ping - 二 目的 主机 名 二 

【功能 】 在 ping 数据 包 中 设置 “禁止 分 段 ”" 标 志 , 网 关 转 发 此 包 时 禁止 对 包 进行 分 段 ， 
参看 图 4. 19 。 

【实例 】 C:\Documents and Settings>ping -f www. google. com。 

(6)【 命 令 】 ping -i (TTL 计数 ) 二 目的 主机 名 二 

【功能 】 指定 数据 包 在 网 络 系统 中 传输 的 生存 期 数值 (1 一 255) 。 

【实例 】 C:\Documents and Settings 二 ping -i10 www. google. com( 设 生存 期 为 10) 。 

(7) 【命令 】 ping -r (计数 ) 二 目的 主机 名 

【功能 】 在 “记录 路 由 ?字段 中 记录 传 出 和 返回 数据 包 的 路 径 段 数 (1 一 9) 。 

【实例 】 C:\Documents and SettingsNtest 二 ping -r 3 www.sei. ynu. edu. cn( 记 录 路 
由 器 的 IP 地 址 ,重复 测试 3 次 ,参看 图 4. 22 中 IPv4 头 部 的 可 选项 ) 。 


Pinging sei.ynu.edu.cn[202.203.208.100] with 32 bytes of data: (得 到 目标 机 的 IP 地 址 ) 
Reply from 202.203.208.100: bytes=32 time< lms TTI= 254 


Route: 202.203.208.65-> (第 二 个 网 段 的 路 由 器 IP 地 址 ) 
202.203.208.100-> (目标 机 的 IP 地 址 ) 
202.203.44.1 (第 一 个 网 段 的 路 由 器 IP 地 址 ) 


Ping statistics for 202.203.208.100: 
Packets: Sent= 4，Received= 4, Lost=0 (0%10ss), 
Approximate round trip times in milli- seconds: 


Minimum= Oms, Maximum= lms, Average= 0ms 


(8)【 命 令 】 ping -s (网 段 数 ) 二 目的 主机 名 二 
【功能 】 设 定时 间 戳 ,网 段 数 范围 1 一 4。 
【实例 】 C:\>ping -s 2 10.216.26.184。 


Pinging 10.216.26.184 with 32 bytes of data: 

Reply from 10.216.26.184: bytes=32 time< lms TTI= 128 
Timestamp: 10.216.26.184: 5421620 

Reply from 10.216.26.184: bytes=32 time< lms TTI= 128 
Timestamp: 10.216.26.184: 5422622 

Ping statistics for 10.216.26.184: 
Packets: Sent=2, Received=2, Lost=0 (0% loss), 


Approximate round trip times in milli- seconds: Minimum= Oms, Maximum= 0ms, Average= Oms 
(9)【 命 令 】 ping -j (主机 列表 ) 志 目的 主机 名 之 
【功能 】 包 从 源 端 出 发 , 沿 * 主 机 列表 ”指定 的 路 径 传输 ,但 不 严格 要 求 。 
(10)【 命 令 】 ping -k (主机 列表 ) 二 目的 主机 名 二 
【功能 】 包 从 源 端 出 发 ,严格 地 沿 主机 列表 的 路 径 探 测 ,参看 图 4. 22。 
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2. Ping 命令 的 几 种 返回 结果 

(1)“Request timed out. "表示 等 待 的 时 间 已 超过 定时 器 限定 的 时 间 , 还 没有 收 到 目标 
主机 返回 的 响应 数据 包 。 表 明 网 络 不 通 或 网 络 传输 拥塞 、 延 时 太 长 或 被 对 方 的 防火 墙 阻 断 。 

(2)“Reply from X. . X. . X. X: bytes=32 time< lms TTL 王 254” 表 示 收 到 从 目标 主 
机 X.X.X.X 返 回 的 响应 数据 包 ,. 数 据 包 大 小 为 32 Bytes, 响 应 时 间 小 于 lms ,TTL 为 
254 ,这 个 结果 表示 本 计算 机 到 目标 主机 之 间 连 接 正常 。 

(3)“Destination host unreachable” 表 示 目 标 主 机 无 法 到 达 。 

(4)“PING : transmit failed, error code XXXXX” 表 示 传 输 失 败 ,错误 代码 XXXXX。 

Ping 命令 是 基于 一 种 简单 思想 的 简单 程序 ,一 个 网 络 设备 向 另 一 设备 发 送 请 求 数据 包 
以 要 求 它 做 出 应 答 ,并 记录 下 发 送 请 求 包 的 时 刻 。 当 目的 设备 收 到 请 求 包 时 便 回 传 一 个 应 
答 包 。 源 端 机 收 到 应 答 包 时 ,就 可 计算 出 数据 包 来 回 传 送 的 时 间 。 应 答 信息 的 成 功 接收 表 
明 链 路 运转 正常 。 来 回 所 用 的 时 间 提 供 了 整 条 链 路 的 传输 延迟 指标 。 多 次 重复 发 送 Ping 
后 , 收 到 的 多 个 响应 包 的 往返 时 间 之 间 的 一 致 性 ,可 用 于 评估 网 络 连 接 的 质量 。 因 此 Ping 
解答 了 两 个 基本 问题 : 此 网 络 设备 接 通 了 吗 ? 接 通 质量 如 何 ? 

显然 ,为 了 让 此 Ping 能 够 运行 ,网 络 协议 必须 支持 这 种 “查询 /响应 ”机 制 。Ping 程序 
基于 ICMP 协议 ,ICMP 协议 是 TCP/IP 协议 族 的 一 部 分 , 见 图 1.15。ICMP 被 设计 了 用 于 在 
网 络 设备 之 间 传 递 网 络 的 性 能 参数 和 交换 错误 消息 , 它 支 持 较 广 的 消息 类 型 ,包括 “查询 / 响 
应 "机制 在 内 。 正 常 的 Ping 命令 的 运行 依赖 于 两 个 特定 的 ICMP 报 文 ,ECHO_REQUEST 和 
ECHO_REPLY ,但 是 ,适当 的 时 候 Ping 也 可 回应 不 同 于 ECHO_REPLY 的 ICMP 报 文 。 

如 图 7.2 所 示 , 也 可 以 Ping 自己 主机 网 络 接口 的 回 传 IP 地 址 127.0.0.1, 由 此 判断 本 
机 是 否 能 发 送 和 接收 信息 。 这 时 并 没有 向 网 上 发 送信 息 , 只 是 判断 自己 的 网 卡 是 否 正常 。 
如 果 Ping 操作 成 功 了 ,就 排除 了 可 能 存在 于 计算 机 、 驱 动 程序 设置 和 网 卡 之 间 的 问题 。 


icrosoft Windows XP [也 本 5.1.2688] 
c》 版 权 所 有 1985-2961 Microsoft Corp. 


:Docunents and Settings\Heyping 127.9.9-1 
Pinging 127-9.9-1 with 32 bytes of data: 


Reply from 127.9.9-1: bytes=32 tineCins TTL=128 

ply from 1 bytes=32 tineCins TTL=128 
Reply from 127.9.9.1: bytear32 tinecins TILr128 
Reply fron 127.8.0-1: bytes=32 tineCins TTL=128 


Ping statistics for 127.0.0.1: 
Packets: Sent = 4。 Received = 4, Lost = @ (Bx loss), 
pproxinate round trip tines in milli-seconds: 
Minimum = Bns. Maximum = Bms. fverage = Ons 


图 7.2 用 Ping 本 机 IP 地 址 或 回 传 地 址 127. 0.0. 1 来 判断 本 机 网 卡 是 否 正常 工作 


因为 互联 网 控制 报 文 协议 (ICMP) 工 作 在 IP 层 ,Ping 只 能 测试 目的 主机 的 IP 层 是 否 
连通 。Ping 不 能 检测 IP 层 以 上 的 功能 。 有 一 些 标准 的 互联 网 应 用 层 服务 可 以 用 来 测试 
IP 以 上 的 层 ,如 Telnet 可 用 于 访问 这 些 上 层 服务 以 达 测 试 目 的 。 现 在 有 很 多 工具 可 用 于 
HTTP 和 Web 服务 器 的 连通 性 能 测试 。 建 议 参 考 Internet 数据 分 析 协 会 网 站 www. 
caida. org。 

由 于 Ping 的 在 线 连通 性 测试 方法 存在 安全 方面 的 隐患 ,例如 ,黑客 可 能 操控 大 量 的 第 


3 方 网 络 计算 机 在 同一 时 刻 向 同一 个 主机 发 送 巨大 数量 的 Ping 包 , 导 致 目 标 主机 网 络 阻 塞 
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瘫痪 , 称 为 ping to death 的 网 络 攻击 。 因 此 很 多 服务 器 和 网 络 主机 设置 了 防火 墙 的 参数 ， 
阻止 Ping 入 或 Ping 出 的 操作 使 用 。 


7.1.2 路 由 跟踪 探测 命令 Traceroute 


第 二 个 常用 的 TCP/IP 工具 是 Traceroute。 该 工具 可 以 探测 出 从 本 地 主机 到 远 端 主机 
之 间 所 经 过 网 络 路 径 上 每 个 路 由 器 的 IP 地 址 ,以 及 本 地 主机 与 网 络 路 径 上 的 每 一 网 段 的 传 
输 延 时 等 性 能 。 

当 一 个 数据 包 离开 了 本 地 主机 进入 网 络 后 , 便 几 乎 失去 了 对 它们 如 何 到 达 目 的 端的 所 
经 路 径 的 控制 ,用 户 不 知道 沿途 经 过 些 哪些 网 段 的 传输 。 路 径 跟 踪 提 供 一 种 方法 ,去 探知 用 
户 的 互联 网 服务 提供 商 (ISP) 是 谁 ,ISP 怎样 与 外 部 互联 网 连通 等 信息 。Traceroute 就 是 收 
集 此 类 信息 的 一 个 工具 ,用 于 可 视 化 地 观看 一 个 网 络 包 如 何 被 发 送 和 接收 ,以 及 此 包 到 达 目 
的 端 所 经 过 的 各 网 段 的 跳 数 。 

路 由 跟踪 Trace route 巧妙 地 利用 了 IP 包头 部 中 生存 期 字段 的 功能 ,使 用 了 ICMP 和 
UDP 协议 。 此 命令 运行 时 ,发 送 方 首先 向 目的 主机 发 出 一 个 UDP 数据 报 , 将 包 中 的 TTL 
值 设 为 1, 同 时 将 包 中 目的 主机 的 端口 号 设置 为 一 个 无 效 的 端口 号 。 传 输 路 径 上 的 第 一 个 
路 由 器 收 到 此 包 后 ,将 TTL 减 去 1 后 等 于 0, 就 抛弃 此 包 ,并 向 源 主 机 返回 一 个 ICMP 超时 
信息 。 因 此 源 发 送 方 就 获知 并 探测 到 路 途上 的 第 1 个 路 由 器 的 IP 地 址 。Trace route 再 发 
送 第 2 个 UDP 包 , 设 置 包 中 的 TTL=2。 第 1 个 路 由 器 收 到 此 包 后 将 其 中 TTL 一 1 三 1, 不 
等 于 0, 就 将 该 包 传输 给 第 2 个 路 由 器 。 第 2 个 路 由 器 收 到 此 包 后 将 其 中 的 TTL 减 去 1 后 
等 于 0, 抛 去 此 包 , 返 回 一 个 ICMP 包 给 源 端 机 ,于 是 源 主机 就 探测 出 第 2 个 路 由 器 的 IP 地 
址 。Traceroute 通过 发 送 TTL 值 逐 个 增加 1 的 UDP 包 来 探测 出 从 源 主机 到 目的 主机 之 间 
的 所 有 经 过 的 路 由 器 。 当 最 后 一 个 UDP 数据 报 达 到 终点 目的 主机 时 ,返回 一 个 ICMP 的 
“端口 不 可 达 ? 消 息 给 发 送 方 ,因为 数据 包 中 故意 设置 了 一 个 无 效 端口 号 。 

Traceroute 命令 的 格式 为 : 


C:\Documents and Settings\test>tracert[-d] [-h maximum hops] [-j host- list] 


[-w timeout] target name 


在 Windows 操作 系统 中 用 Tracert 的 命令 来 实现 路 由 跟踪 ,各 命令 选项 分 别 说 明 
如 下 : 

(1)【 命 令 】 tracert -d 二 目的 主机 名 二 

【功能 】 不 要 将 主机 名 解析 。 


【实例 】 C:\Documents and Settings\test>tracert -d www. sei. ynu. edu. cn 


Tracing route to sei.ynu.edu.cn[202.203.208.100] 解析 出 目的 主机 IP 地 址 

Over a maximum of 30 hops: 最 大 可 探测 30 个 网 段 

1 <lms <lms <lms 202.203.44.1 ”路径 上 第 一 个 网 关 的 IP 地址 ,以 及 3 次 往返 时 间 
2 <lms <lms <1lms202.203.208.100 日 标 主 机 在 第 2 跳 段 ,以 及 3 次 往返 时 间 


Trace complete. 


(2)【 命 令 】 tracert -h (最 大 跳 数 ) 二 目的 主机 名 二 
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【功能 】 搜索 目的 主机 时 ,设置 经 过 的 网 段 的 最 大 跳 数 限制 ,默认 值 为 30。 

(3)【 命 令 】 tracert -j (主机 列表 ) 二 目的 主机 名 二 

【功能 】 从 源 端 沿 着 此 主机 列表 的 路 径 搜索 到 达 目 的 主机 ,不 严格 要 求 沿 此 路 径 。 

(4)【 命 令 】 tracert -w (超时 ) 二 目的 主机 名 二 

【功能 】 设 定 等 待 每 个 回应 包 的 最 长 时 间 限 制 ,单位 为 毫秒 。 

(5)【 命 令 】 tracert 二 目的 主机 名 二 

【功能 】 路 由 跟踪 到 达 目 的 主机 的 网 络 路 径 ,并 将 主机 名 转换 为 IP 地 址 。 

【实例 】 一 个 使 用 Tracert 来 路 由 跟踪 网 站 www. google. com 的 例子 ,如 图 7. 3 所 示 。 


获得 google 网 站 
最 近 的 服务 器 叫 地 址 
源 与 目标 之 间 的 每 个 跳 

段 的 路 由 器 中 地 址 


图 7.3 路 由 跟踪 探测 的 实例 


根据 对 某 一 网 段 的 3 次 探测 往返 时 间 的 一 致 性 ,可 知 该 网 段 是 否 阻塞 。 如 果 某 网 段 的 
往返 时 间 为 3 个 星 号 ,表示 该 段 的 路 径 探测 失败 ,由 此 可 以 找 出 网 络 故障 的 范围 ,如 果 连 续 
很 多 次 探测 失败 ,这 就 表示 所 有 路 径 已 测试 完毕 ,没有 办 法 连接 到 目的 主机 ,也 有 可 能 是 该 
网 段 的 主机 中 将 防火 墙 中 设置 为 禁止 Ping 或 ICMP 的 探测 。 


【实例 】 C:\Documents and Settings 二 tracert www. ynu. edu. cn 


Tracing route to www. ynu. edu .cn[202.203.208.36] 


over a maximum of 30 hops: 


1 <ilms <ilms <ilms 202.203.44.1 路 径 中 的 第 一 个 网 关 

2 x x x Request timed out .此 网 段 可 能 出 了 故障 ,也 可 能 防火 墙 禁止 ping 
3 关 兴 % Request timed out. 

4 "8 人 工 中 断路 径 探 测 


微软 的 Tracert 和 UNIX 的 traceroute 命令 之 间 的 不 同 点 在 于 前 者 使 用 ICMP 数据 包 ， 
而 后 者 则 使 用 UDP 数据 包 。 这 并 不 是 说 它们 有 次 病 .仅仅 是 使 用 了 不 同 数据 包 而 已 。 在 
某 些 特殊 情况 下 ,可 以 因地制宜 地 选择 使 用 Traceroute 或 者 Tracert 来 进行 路 由 探测 。 在 
某 些 情况 下 ,两 者 的 表现 可 能 会 有 所 不 同 ,例如 ,如 果 一 个 路 由 器 的 防火 墙 设置 了 阻隔 
ICMP 报 文 ,也 就 会 阻 断 Tracert 命令 的 探测 ;对 于 这 种 情况 如 果 采 用 Traceroute 命令 的 
UDP 数据 包 将 会 顺利 通过 此 路 由 器 。 


7.1.3 本 机 联网 状态 检测 命令 Netstat 


命令 netstat 用 于 查看 本 地 主机 的 网 络 连 接 状态 ,例如 : 网 卡 和 驱动 器 的 状态 ,输入 和 
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输出 包 的 数量 ,出 错 包 的 数量 等 ,查看 与 网 络 进程 相关 的 核心 数据 结构 的 内 容 , 也 可 用 于 显 
示 本 地 主机 的 路 由 表 状 态 ,显示 当前 有 哪些 TCP/IP 服务 进程 正在 工作 ,由 此 可 以 查看 本 机 
是 否 被 黑客 人 侵 , 是 否 有 木马 的 开放 端口 等 丰富 的 网 络 连接 状态 信息 。 

Netstat 的 命令 格式 为 


Netstat [-a] [-b] [-e] [-n] [-an] [-o] [-Pp proto] [-r] [-s] [-v] [interval] 


在 Windows 操作 系统 中 各 命令 选项 分 别 说 明 如 下 : 

(1)【 命 令 】 netstat -a 

【功能 】 显示 当前 的 所 有 连接 和 监听 的 端口 ,服务 器 端的 连接 一 般 不 显示 。 

【实例 】 使 用 Netstat -a 查询 本 机 网 络 连接 状态 ,本 地 主机 用 计算 机 名 显示 ,如 
图 7.4 所 示 。 查 看 计算 机 名 的 方法 是 右 击 Windows"* 我 的 电脑 ”一 “系统 属性 ?一 “计算 机 
名 ”命令 。 本 命令 显示 出 端口 名 ,端口 号 与 端口 名 的 对 照 参 看 附录 A, 例 如 : 端口 名 http 对 
应 的 端口 号 是 80。 如 果 发 现 本 机 与 远 端 主 机 的 连接 端口 都 是 大 于 1024 的 高 端口 , 且 无 法 
查 明 其 应 用 性 质 , 应 警惕 是 否 存在 木马 等 非 正常 连接 。 


C:\Documents and Settings\??netstat -a 
Active Connections 这 些 端口 在 等 待 连接 ， 处 于 监听 状态 


Protd |Local hddress Foreign hddress 
TCP billgates:epnap 8.8.0.8:0 
TCP billgates:microsoft-ds 0.9.9.0:9 
ICP | hillgates:1025 8.9.0.9:9 
TCP | billgates:3077 0.8.0.8:0 
TCP | billgates:3078 8.B-B.9:0 
TCP | billgates:?025 8.9.0.9:9 
TCP billgates:70898 0.90.0.8:0 
TCP billgates:?7110 0.0.0.8:0 
TCP | billgates:1026 08.8.0.8:0 


UDP billgat ete 


UDP knp 二 
UDP 关 > 话 

UDP 拓 匆 

UDP EE 

oe 尖 才 | 显示 近期 中 止 的 连接 ， 还 有 已 建立 了 的 连接 ， 
ye “:* | 未 显示 UDP 的 连接 状态 ， 因 为 UDP 是 无 连接 的 
UDP 新 > 才 

UDP EE 


TCP billgates:1565 
TCP hillaates:1S66 


ww -computerhope .com:http TIME_WAIT 
-comnutenhone -comn:htty、_TINME WAIT 


各 协议 使 用 的 本 机 MAC 地 址 (billgates), 以 及 端口 号 | 
图 7.4 用 Netstat 显示 本 机 的 网 络 连接 状态 和 监听 的 端口 


(2)【 命 令 】 netstat -b 

【功能 】 显示 包含 于 创建 每 个 连接 或 监听 端口 的 可 执行 组 件 。 在 某 些 情况 下 已 知 可 执 
行 组 件 拥有 多 个 独立 组 件 , 并 且 在 这 些 情况 下 包含 于 创建 连接 或 监听 端口 的 组 件 序列 被 显 
示 。 这 种 情况 下 ,可 执行 组 件 名 在 底部 的 [J 中 ,顶部 是 其 调用 的 组 件 等 等 ,直到 TCP/IP 部 
分 。 注 意 此 选项 可 能 需要 很 长 时 间 , 如 果 没 有 足够 权限 可 能 失败 。 

(3)【 命 令 】 netstat -e 

【功能 】 显示 主机 的 以 太 网 的 统计 信息 。 该 选项 与 -s 联合 使 用 。 

【实例 】 C:\Documents and Settings>netstat -e 


Interface Statistics Received Sent 
Bytes 1748789 452422 (接收 和 发 送 的 字 节 数 ) 
总 


Unicast packets 2594 2547 人 单 播 包 的 数量 ) 


Non-unicast packets 6605 236 ( 非 单 播 包 的 数量 ) 
Discards 0 0 (抛弃 包 的 数量 ) 
Errors 0 13 (错误 包 的 数量 ) 
Unknown protocols 386 (未 知 协议 的 包 数 量 ) 


(4)【 命 令 】 netstat -an 
【功能 】 功能 与 netstat -a 相同 ,但 是 以 数字 形式 显示 地 址 和 端口 信息 。 
【实例 】 C:\Documents and Settings\1234er5>netstat -an 


Active Connections 当前 的 连接 和 端口 

Proto Local Address Foreign Address State 连接 状态 

TCP 202.203.44.208:3285 ”202.203.208.36:80 ”ESTABLISHED ”已 建立 TCP 连接 
TCP 202.203.44.208:3286 202.101.18.153:80 SYN_SENT 发 送 了 sYN 请求 建立 连接 
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 开放 端口 等 待 连接 
TCP 127.0.0.1:1139 127.0.0.1:1025 TIME WAIT 本 机 回 传 地 址 连接 
TCP 192.168.0.163:139 0.0.0.0:0 LISTENING 开放 端口 等 待 连接 
TCP 192.168.0.163:1060 218.77.17.19:80 FIN WAIT 2 结束 连接 

TCP 192.168.0.163:1140 220.181.127.106:80 TIME WAIT 保存 TCP 连接 

UDP 0.0.0.0:445 关 了 学 

UDP 127.0.0.1:123 关 :% 

UDP 192.168.0.163:123 关 

UDP 192.168.0.163:137 关 关 


@“ 套 接地 址 ”的 概念 : 在 此 显示 结果 中 ,左边 第 1 列 是 该 连接 使 用 的 传输 层 协议 , 即 
TCP 或 UDP。 第 2 列 是 由 本 机 网 络 接口 IP 地 址 和 开放 端口 组 成 的 “本 地 地 址 (Local 
Address)”, 中 间 用 “: ”号 隔 开 。 第 3 列 是 由 外 部 主机 IP 地 址 和 端口 组 成 的 “外 部 地 址 
(Foreign Address)”。 由 这 5 个 参数 共同 构成 互联 网 通信 的 “ 套 接地 址 (socket)”, 唯 一 地 定 
义 了 互联 网 通信 中 的 一 个 进程 对 进程 的 传输 。 第 4 列 是 该 进程 的 通信 连接 状态 State, 状 态 
类 型 包括 : 已 建立 连接 ESTABLISHED 发送 了 TCP 连接 请 求 SYN、 候 听 LISTENING、 
等 待 对 方 回 应 TIME WAIT 等 ,参看 第 5 章 的 介绍 。 

@ 由 于 传输 层 的 UDP 是 无 连接 的 协议 ,因此 UDP 协议 行 的 外 部 套 接地 址 为 "x. x”, 连 

@ 两 个 特殊 的 IP 地址 : 0. 0. 0. 0 表示 任意 值 的 IP 地 址 。127. 0. 0. 1 为 本 机 网 络 接口 
的 回 传 地 址 。 详 细 见 第 4. 1 节 。 

(5)【 命 令 】 netstat -o 

【功能 】 显示 与 每 个 连接 相关 的 所 属 进程 ID。 

(6)【 命 令 】 netstat -p proto 

【功能 】 显示 proto 指定 的 协议 的 连接 ;proto 可 以 是 下 列 协议 之 一 : TCP、UDP、 
TCPv6 或 UDPv6。 如 果 与 -s 选项 一 起 使 用 以 显示 按 协议 分 类 的 统计 信息 ,proto 包括 IP、 
IPv6 ,ICMP.ICMPv6、TCP、TCPv6、UDP 或 UDPv6。 

(7)【 命 令 】 netstat -r 

【功能 】 显示 本 机 路 由 表 内 容 。 这 是 解决 路 由 问题 的 基本 信息 ,例如 , 当 发 现 有 一 台 主 
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机 或 一 个 网 络 不 可 连接 通 时 ,就 先 看 路 由 表 。 路 由 表 对 于 监测 有 哪些 网 络 正 在 与 本 地 计算 
机 通信 是 很 有 用 的 。 
【实例 】 使 用 netstat -r 列 出 本 机 路 由 表 , 如 图 7.5 所 示 。 


C:\Documents and Settings\HeMnetstat -Pr T i 
路 由 表 列 出 本 机 路 由 表 网 络 接口 列表 
JRoute Table 


Interface List | 
xd 


1 州 表 

Ms ICP Loopback interface 微软 TCP 回 传 接口 
Realtek RIL8139 Fanily PCI Fast Ethernet NIC 
快速 以 及 网 卡 


篇 囊 计 和 程序 从 并 端 


网 络 接口 。 度量 


Petave Routes: 有 效 路 由 

letwork Destination Gatevay Interface Metric 
目的 地 址 8@.8.8.8 0.0.8.8 282.283.44.1 282.203.44.79 20 
127.0.0.8 255.9.8.9 127.8.8.1 同 传 地 址 12?.8.8.1 
292.283.44-B 255.255.255.9 282.283.44.79 282.283.44.79 20 
292.293.44.79 255.255.255.255 127.9.8.1 127.8.8.1 20 
282.203.44.255 255.255.255.255 282.283.44.79 282.283.44.79 29 
广播 地 址 224.6.9.6 248.9.9-9 262.283.44.79 282.203.44.79 29 
255.255.255.255 255.255.255.255 282.283.44.79 282.283.44.79 1 

Default Gatewa 282.283.44.1 默认 网 关 本 机 IP 地 址 


JPersistent Routes: 永久 路 由 
| 


图 7.5 显示 列 出 本 机 的 路 由 表 


(8)【 命 令 】 netstat -s 

【功能 】 显示 按 协议 统计 信息 。 默 认 地 ,显示 IP.IPv6 ICMP ICMPv6 、TCP 、TCPv6、 
UDP 和 UDPv6 的 统计 信息 。 

【实例 】 图 7.6 为 用 netstat -s 统计 本 机 连接 网 络 的 协议 包 的 类 型 和 数量 等 运行 状 
态 ,包括 IP ICMP、TCP 和 UDP 等 各 种 类 型 包 的 数量 。 


ITPv4 Gtatistice ICMpv4 Staciatice 
= 71271 Received Sent 
=0 10 
=9 0 0 
Datagrams Forvarded =0 Destination Unreachable 8 1 
Unknown Protocols Received =0 Time Exceeded 0 0 
Received Packets Discarded =0 Paraneter Probleme 0 0 
Received Packats Delivered = 71271 Source Quenches 0 0 
Output Requeate = 70138 Redirects 0 0 
Routing Discards = 日 Bchos 0 2 
Discarded Output packeta 有 Echo Replies 2 o 
= 日 0 © 
Reassenbly Required = 日 0 日 
Rea ly Succeseful = 日 0 o 
Re ly Failurea = 日 ak Repliee 0 o 
Datagrams Successfully Pragmented = 0 
Datagrams Failing Fragmentation =0 TCP Stacistica for IPv4 
Fragnents Created =0 
Active Opens = 798 
UDP Statistics for Ipv4 Passive Opens = 17 
Failed Connection Attempts = 13 
Datagrama Received = 6810 Reset Connections = 467 
No Porte Current Connectiona =0 
Receive Errore Segments Received = 
Datagrams Sent = 6309 Segmenta Sent 
Segments Retransmitted 


图 7.6 列 出 本 机 当前 网 络 数据 的 统计 信息 


(9)【 命 令 】〗】 netstat -v 
【功能 】 与 -b 选项 一 起 使 用 时 将 显示 包含 于 为 所 有 可 执行 组 件 创建 连接 或 监听 端口 
的 组 件 。 
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(10)【 命 令 】 netstat( 间 隔 时 间 ) 
【功能 】 自动 更 新 显示 传输 层 连接 信息 ,每 次 显示 之 间 和 暂停 时 间 间 隔 ( 以 秒 计 )。 按 
Ctrl 十 C 停止 重新 显示 统计 信息 。 如 果 省 略 ,netstat 显示 当前 配置 信息 (只 显示 一 次 )。 


7.1.4 地 址 解析 协议 命令 Arp 


为 了 在 以 太 帧 中 封装 传输 IP 包 ,必须 在 本 地 计算 机 中 建立 ARP 表 ,将 本 地 以 太 网 内 的 
主机 IP 地 址 与 MAC 地 址 进行 对 照 查 询 。 在 第 3. 3 节 中 介绍 了 ARP 协议 的 原理 与 安全 问 
题 。 在 网 络 安全 管理 中 ,经 常 需要 利用 arp 命令 检查 ARP 表 中 的 条 目 , 例 如 ,检查 本 地 以 太 
网 中 是 否 存在 ARP 欺骗 等 。 

一 台 以 太 网 计算 机 可 能 有 多 个 网 络 接口 分 别 与 不 同 的 网 络 连接 ,在 每 个 联网 的 接口 上 
都 有 一 个 ARP 表 。 图 7.7 显示 的 本 机 ARP 表 中 只 有 一 项 IP 地 址 与 物理 地 址 的 对 照 关系 。 
在 图 中 的 第 1 行 指出 : 本 ARP 表 是 属于 IP 地 址 为 198. 150. 221. 107 网 络 接口 上 的 ,该 网 
络 接口 的 序号 是 0x2000002。ARP 表 中 显示 的 是 与 本 机 有 通信 关系 的 本 地 网 内 各 主机 的 
IP/MAC 地 址 ,一般 与 本 机 没有 通信 关系 的 主机 的 信息 就 不 会 出 现在 ARP 表 中 。 因 此 ,在 
同一 局 域 网 中 不 同 主机 的 ARP 表 的 条 目 数量 不 同 ,但 是 应 当 至 少 存在 一 条 本 地 网 关 的 IP/ 
MAC 地 址 信息 ,和 否则 本 机 就 无 法 访问 外 部 互联 网 。 作 为 局 域 网 公共 出 口 的 网 关中 ARP 表 
的 条 目 最 多 ,几乎 包含 本 地 网 络 中 所 有 主机 的 IP/ MAC 地 址 信息 。 


C:\WINDOWS>arp -a 


Interface: 198.150.221.107 on Interface 0x2000002 


Internet Address Physical Address Type 
198.150.221.254 00-10-2f-0b-44-00 。 dynamic 
IP 地 址 物理 地 址 动态 分 配 卫 地 址 


图 7.7 使 用 命令 arp -a 显示 本 机 ARP 表 内 容 


地 址 解析 协议 命令 Arp 有 3 种 形式 ,其 中 各 命令 选项 分 别 说 明 如 下 : 

(1)【 命 令 】 arp -a[inet_addr][ 一 N[if_addr]] 

【功能 】 显示 ARP 缓存 的 当前 内 容 。 如 果 指 定 了 IP 地 址 [inet_addrj], 则 只 显示 该 机 
的 IP 和 物理 地 址 。 如 果 本 机 有 多 个 网 络 接口 使 用 arp, 则 显示 指定 网 卡 的 ARP 表 。 

(2)【 命 令 】 arp -d inet_addr[if_addr] 

【功能 】 删除 表 中 由 inet_addr 指定 的 IP 地 址 的 表 项 。 如 果 IP 地 址 为 “* ? 则 删除 所 
有 表 项 。 

(3)【 命 令 】 arp -s inet_addr ether_addr[if_addr] 

【功能 】 在 ARP 表 中 加 入 此 IP 地 址 和 对 应 的 以 太 网 MAC 地 址 。MAC 地 址 有 
48 位 ,分 为 6B, 每 个 字 节 用 两 个 十 六 进 制 数 表示 。 

【实例 】 以 下 指令 是 把 IP 地 址 220. 0. 0. 160 对 应 MAC 地 址 00-50-04-62-F7-23 这 一 
个 ARP 条 目 添加 到 缓存 中 : C:\Documents and Settings\test>arp -s 220. 0.0. 161 00-50- 
04-62-F7-23。 

值得 注意 的 是 : 如 果 有 一 个 IP 地 址 已 经 分 配给 了 一 个 具体 的 网 络 适 配 卡 ,就 不 能 通过 
修改 把 已 分 配 的 IP 地 址 分 配给 另 一 个 新 物理 地 址 。 另 外 ,还 有 DHCP、BOOTP 或 者 
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RARP 会 自动 分 配给 网 卡 一 个 IP 地 址 ,在 这 种 情况 下 ,这 条 Arp -s 命令 就 不 能 使 用 了 。 
7.1.5 JIPconfig 本 机 网 络 配置 状态 命令 


在 微软 Windows 操作 系统 中 的 ipconfig 工具 可 以 用 来 显示 本 机 的 TCP/IP 配置 信息 ， 
在 运行 此 简单 指令 后 ,可 获得 本 机 的 IP 地 址 、 子 网 掩 码 、 默 认 网 关 等 信息 。 这 一 工具 也 可 用 
来 获取 本 主机 的 每 个 IP 网 络 接口 的 信息 ,如 DNS 主机 名 、DNS 服务 器 的 IP 地 址 、 网 卡 的 
物理 地 址 、 网 络 接口 的 IP 地 址 ,以 及 是 否 设 置 了 DHCP 来 自动 配置 网 卡 的 IP 地 址 。 在 有 
DHCP 服务 器 的 网 络 ,指令 ipconfig /renew 可 用 于 申请 更 新 本 机 的 IP 地 址 。 

IPCONFIG 的 命令 格式 : 


ipconfig[/? |/alll/renew[adapter] |/release [adapter] |/flushdns |/displaydns|/registerdns 
|/showclassid adapter|/setclassid adapter[classid]] 


各 命令 选项 说 明 如 下 : 

(1)【 命 令 】 ipconfig /? 

【功能 】 显示 help 信息 。 

(2)【 命 令 】 ipconfig /all 

【功能 】 显示 所 有 的 网 络 配置 信息 。 

(3)【 命 令 】 ipconfig /release[ 网 卡 ] 

【功能 】 释放 指定 网 卡 的 IP 地 址 。 

(4)【 命 令 】 ipconfig /renew[ 网卡] 

【功能 】 更 新 指定 网 卡 的 IP 地 址 。 

(5)【 命 令 】 ipconfig /flushdns 

【功能 】 清除 DNS 域名 解析 器 的 高 速 缓存 。 

说 明 : 如 果 第 (4) 和 (5) 项 中 没有 指定 [网 卡 ], 则 释放 或 更 新 所 有 的 IP 地 址 。 

(6)【 命 令 】 ipconfig /registerdns 

【功能 】 更 新 所 有 的 DHCP 释放 并 重新 注册 DNS 域名 。 

(7)【 命 令 】 ipconfig /displaydns 

【功能 】 显示 DNS 解析 器 缓存 的 内 容 。 

(8)【 命 令 】 ipconfig /showclassid 

【功能 】 显示 本 网 卡 可 用 的 DHCP 的 所 有 ID。 

(9)【 命 令 】 ipconfig /setclassid 

【功能 】 修改 DHCP 的 class ID。 

图 7.8 是 运行 ipconfig 命令 后 的 一 个 简单 的 网 络 配 置 。 以 下 数据 是 另 一 个 实例 及 其 
分 析 : 

C:\Documents and Settings\Administrator>ipconfig /all (显示 本 机 所 有 网 络 配 置 参 数 ) 

Windows IP Configuration ”( 这 是 本 机 的 第 1 组 网 络 接口 参数 : 微软 Microsoft 网 络 的 参数 配置 ) 


i : HESIDE (微软 网 络 主机 名 ) 
Primary Das Suffix ss, 。。。« 6: (首选 DNS 前 级 ,参看 第 6 章 ) 
Node Type ........... .: Unknown (网 络 节点 类 型 ) 

IP Routing Enabled. .......:No (禁止 IP 路 由 功能 ) 
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WINS Proxy Enabled. . . . . . . .: No (禁止 wINS 代理 ) 
Ethernet adapter 本 地 连接 : (这 是 本 机 的 第 2 组 网 络 接口 参数 : 以 太 网 网 卡 配置 ) 

Connection- specific DNS Suffix .: 

Description . .: Realtek RTL8102E/RTL8103E Family PCI-E Fast Ethernet NIC (网 卡 型 号 ) 


Physical Address. . . . . .: 00-24- 12- 00- 33- 39 (本 网 卡 Mac 地 址 ) 

Dhcp Enabled........: Yes (允许 动态 主机 配置 协议 ) 
Autoconfiguration Enabled .: Yes (允许 自动 配置 网 络 参 数 ) 
IP Address.........: 192.168.0.122 (本 以 太 网 接口 的 IP 地址 ) 
Subnet Mask........: 255.255.255.0 (本 IP 地 址 的 子 网 掩 码 ) 


Default Gateway......: 192.168.0.1 (本 地 网 默认 网 关 地 址 ) 
L (本 地 网 DHcP 服务 器 地 址 ) 

(首选 DNS 服务 器 地 址 ) 

192.168.0.1 ( 备 选 DNS 服务 器 地 址 ) 
..: 2010 年 9 月 12 日 星期 日 14:58:06 (此 组 IP 参 数 租用 时 间 ) 
Lease Expires.. .: 2010 年 9 月 19 日 星期 日 14:58:06 (此 组 IP 参 数 失效 时 间 ) 

Ethernet adapter 无 线 网 络 连接 2: (这 是 本 机 的 第 3 组 网 络 接口 参数 : 无 线 以 太 网 网 卡 配置 ) 


Connection- specific DNS Suffix .: 


DHCP Server 


DNS Servers 


Description........: VIA Networking Technologies USB Wireless LAN Adapter 

Physical Address......: 00-12- 7B- 47- 6E-A3 (本 无 线 网 卡 MAC 地 址 ) 

Dhcp Enabled........: Yes (允许 动态 主机 配置 协议 ) 

Autoconfiguration Enabled .: Yes (允许 自动 配置 网 络 参数 ) 

IP Address 192.168.0.163 (本 无 线 以 太 网 口 IP 地 址 ) 

Subnet Mask........: 255.255.255.0 (本 IP 地 址 的 子 网 掩 码 ) 

Default Gateway...... : 192.168.0.1 (本 地 网 默认 网 关 ) 

DHCP Server.. (本 地 网 DHCP 服务 器 ) 

DNS Servers........: (首选 DNS 服务 器 ) 
(本 地 网 备 选 DNS 服务 器 ) 

Lease Obtained.......:2010 年 9 月 12 日 星期 日 11:30:54 (此 组 IP 参数 租用 时 间 ) 

Lease Expires.......: 2010 年 9 月 19 日 星期 日 11:30:54 (此 组 IP 参数 失效 时 间 ) 


cunents ani 人 


Windows IP Conf iguration 本 机 的 IP 配 置信 息 


Ethernet adapter ????: 以 大 网 卡 


Connection-specific DNS Suffix 。: 
Autoconf iguration IP hddress，，。: 
Subnet Mask : 


PPP adapter ??: ”PPP 拨号 调制 解 调 器 


Connection-specific DNS Suffix - : 
IP hddress， . , 
Subnet Mask 


图 7.8 使 用 ipconfig 显示 本 机 的 网 络 参数 配置 


以 上 实例 可 看 出 ,该 网 络 计算 机 有 3 个 网 络 接口 ,每 个 接口 有 一 组 网 络 参 数 配 置 ,第 

1 组 是 Windows 默认 安装 的 Microsoft 网 络 的 参数 配置 (未 用 该 网 络 协议 ), 第 2 组 是 本 机 

的 100Mbps 快速 以 太 网 接口 的 网 络 参 数 , 第 3 组 是 本 机 的 无 线 以 太 网 接口 的 网 络 参 数 。 注 
有 x 


意 ,图 7.8 所 示 的 计算 机 中 还 有 一 个 点 对 点 拨号 网 络 接口 的 参数 配置 。 

在 以 上 数据 中 ,DHCP 服务 器 提供 给 客户 机 的 IP 地 址 参数 组 的 租用 期 长 短 可 根据 局 域 
网 内 用 户 的 流动 性 和 IP 地 址 资源 状况 而 设置 ,如 果 网 内 计算 机 流动 性 大 而 IP 地 址 资源 较 
紧缺 ,那么 租用 期 可 设 得 较 短 (例如 2 小 时 ) ,如 果 网 内 计算 机 较 固 定 且 IP 地 址 不 紧缺 ,那么 
IP 参数 组 的 租用 期 可 设 得 较 长 (例如 ,此 例 中 为 7 天 )。 当 IP 地 址 租用 期 结束 后 ,DHCP 客 
户 机 应 重新 向 服务 器 提出 申请 ,参看 第 3 章 的 介绍 。 


7.1.6 ”net 命令 


Net 命令 用 来 查看 本 地 网 络 计算 机 上 的 用 户 列 表 ( 查 看 在 本 机 是 否 存在 未 知 可 疑 的 用 
户 账号 ) .添加 和 删除 用 户 .与 对 方 计 算 机 建立 联系 .启动 和 停止 网 络 服务 等 。 

NET 命令 包括 : NET[ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | 
GROUP| HELP| HELPMSG | LOCALGROUP | NAME|PAUSE|PRINT | SEND| SESSION 
ISHARE|START|STATISTICS| STOP| TIME| USE| USER| VIEW J 

常用 的 net 命令 如 下 : 

(1)【 命 令 】 net user 

【功能 】 查看 本 计算 机 上 的 全 部 用 户 列表 。 

【实例 】 C:\Documents and SettingsS\ 二 net user 


\\YNU- 690363ED785 的 用 户 账户 
Administrator Guest YN 
Help Assistant 。 SUPPORT 388945a0 (Windows XP 的 系统 支持 账号 ) 


(2)【 命 令 】 net user 一 用 户 名 二 二 密码 二 


【功能 】 修改 某 用 户 的 密码 。 
【实例 】 C 汶 之 net user administrator 123456 


命令 成 功 完 成 。 (将 adaministrator 用 户 的 密码 改 为 123456) 


(3)【 命 令 】 net user 用 户 名 密码 /add 

【功能 】 在 计算 机 上 新 增加 一 个 用 户 及 其 密码 。 

【实例 】 C: 闪 二 net user SSS 12345/add (将 用 户 SSS 加 入 用 户 列表 ,其 密码 为 
12345) 

(4)【 命 令 】 net user 一 用 户 名 二 /del 

【功能 】 在 本 计算 机 的 用 户 名 列表 中 删除 此 用 户 名 的 账号 。 

关于 详细 的 命令 解释 和 用 法 解释 ,可 输入 C:\ 二 net help (命令 )。 本 节 介 绍 的 这 些 运 
行 于 Windows 命令 提示 符 下 的 工具 ,能 够 让 用 户 和 管理 员 对 计算 机 的 网 络 参 数 进行 测试 和 
分 析 。 这 些 工具 操作 简单 有 效 ,不 足 之 处 是 要 记 住 各 种 命令 格式 ,得 到 的 是 非 图 形 化 的 输出 
界面 ,并 且 显 示 的 是 实时 数据 ,无 历史 记录 。 


7.2 网 络 数据 捕获 与 信息 安全 诊断 


学 习 网 络 故障 诊断 技术 的 最 好 方法 是 边 学 习 边 实践 。 性 能 良好 的 网 络 , 要 有 规范 的 设 


计 和 工程 安装 ,元 余 的 设备 备份 ,建立 完善 的 网 络 数据 档案 资料 ,以 及 网 络 管理 人 员 培 训 制 
度 。 本 节 讨 论 的 是 网 络 数据 捕获 与 分 析 这 一 强大 的 技术 手段 ,是 最 好 的 网 络 故障 和 信息 安 
全 检测 工具 。 要 想 真 正 搞 清楚 自己 的 网 络 上 到 底 发 生 了 什么 事情 ,就 必须 捕获 与 分 析 网 络 
的 数据 流 , 去 发 现 黑客 活动 的 蛛丝马迹 ,或 者 去 捕获 病毒 样本 ,没有 别 的 工具 能 提供 比 它 更 
详细 的 网 络 信息 。 


7.2.1 网 络 数据 捕获 工具 的 分 类 


数据 包 捕获 就 是 实时 地 收录 网 络 上 传输 的 数据 。 包 捕获 和 流量 分 析 工 具有 不 同 的 类 
型 ,诸如 网 络 报 文 嗅 探 器 数据 包 分 析 器 、 协 议 分析 器 ,以 及 流量 监视 器 等 。 捕 获 网 络 的 原始 
数据 是 所 有 这 些 工 具 必 备 的 基础 功能 ,在 Windows 系统 中 ,它们 大 多 使 用 同样 的 网 络 数据 
捕获 工具 WinPcap。 它 们 的 不 同 之 处 在 于 当 数 据 包 被 截获 之 后 ,这 些 不 同 的 工具 使 用 不 同 
的 分 析 方法 进行 解读 。 包 嗅 探 器 只 对 捕获 到 的 包 进 行 少量 的 分 析 , 协 议 分 析 器 对 包 的 内 容 
提供 最 详细 的 解读 ,而 包 分 析 器 的 功能 介 于 二 者 之 间 。 流 量 监测 工具 一 般 更 多 地 着 眼 于 收 
集 网 络 数据 流 的 统计 信息 。 这 些 工具 都 备 有 各 种 附加 功能 ,如 图 表 动 态 显示 、 网 络 数据 流量 
产生 器 等 。 本 节 重 点 介绍 著名 的 网 络 协 议 分 析 软 件 Wireshark。 

包 捕获 看 似 一 个 工作 于 网 络 层 以 下 的 工具 .但 也 能 用 于 分 析 上 面 各 高 层 的 数据 ,包括 应 
用 层 。 因 为 高 层 数据 被 封装 到 包 的 内 核 中 ,对 于 协议 堆栈 的 低层 协议 分 析 时 是 透明 的 。 高 
层 数 据 对 于 分 析 低 层 协议 时 是 不 用 的 。 高 层 数据 有 两 种 例外 : 一 是 高 层 数 据 被 加 密 了 ,二 
是 应 用 层 数据 被 肢解 到 多 个 包 中 传输 。 

对 包 的 捕获 过 程 也 需要 具备 基本 的 网 络 知识 。 要 深入 解读 这 些 捕获 结果 ,需要 对 相关 
协议 有 全 面 的 理解 。 在 使 用 包 捕 获 工具 之 前 必须 先 熟悉 它 的 用 法 以 及 网 络 协议 。 在 网 络 管 
理 中 遇 到 问题 的 时 候 , 也 可 以 用 一 个 对 照 比较 系统 ,这样 可 以 观察 比较 网 络 数据 流 的 正常 表 
现 。 在 系统 发 生 故 障 之 前 就 应 当 了 解 该 系统 正常 情况 下 的 工作 状态 如 何 。 因 此 一 个 网 络 管 
理 员 的 日 常 工作 ,就 是 在 他 的 系统 出 故障 之 前 ,应 当 定期 地 对 网 络 运行 情况 进行 详细 的 分 析 
和 记录 ,了 解 正常 情况 下 网 络 数据 的 表现 。 


7.2.2 网 络 数据 流 的 监测 点 选择 


网 络 数据 的 捕获 只 能 在 已 接 和 人 的 网 络 链 路 上 进行 。 如 果 操 作者 不 能 连接 到 网 络 的 某 个 
接口 ,也 就 不 能 捕获 到 该 接口 上 的 数据 流 。 但 是 ,有 时 要 接 人 和 测试 网 络 的 某 些 链 路 可 能 是 
困难 的 ,例如 网 络 机 房 的 安全 封闭 ` 各 子 网 的 分 割 隔离 等 。 而 在 某 些 共享 媒体 的 网 络 上 这 不 
是 一 个 问题 ,例如 : 早期 的 以 太 网 10Base2 和 10Base5 的 网 络 是 共享 传输 线路 ( 同 轴 电 缆 )， 
无 线 局 域 网 的 信道 也 是 共享 的 。 还 有 ,利用 集线器 进行 连接 的 局 域 网 ,网 上 的 数据 流量 是 后 
所 有 用 户 公开 暴露 的 。 但 在 交换 式 网 络 上 ,情况 就 要 复杂 一 些 。 

1. 交换 机 对 网 络 数据 流 的 隔离 条 件 

如 果 只 从 网 络 内 的 一 台 主 机 上 捕获 流量 信息 ,那么 在 不 同 网 段 上 传输 的 数据 流 它 可 能 
永远 看 不 到 。 有 些 网 络 设备 ,例如 网 桥 和 交换 机 是 专门 设计 了 隔离 不 同 网 段 数 据 流 的 ,只 
在 本 地 网 络 上 的 某 些 部 分 能 够 看 到 其 他 数据 流 。 在 一 个 交换 式 的 网 络 上 ,在 每 个 接口 上 只 
能 看 到 有 限量 的 数据 流 。 但 是 交换 机 要 实现 隔离 功能 ,必须 有 个 前 提 条 件 , 在 交换 机 刚 接 入 
系统 时 , 它 内 部 的 路 由 表 是 空白 的 ,必须 运行 了 足够 长 的 时 间 后 ,才能 利用 ARP 等 协议 自 
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动 生成 一 个 相对 完善 的 交换 地 址 表 。 大 部 分 交换 机 的 路 由 参数 生成 过 程 是 : 如 果 收 到 了 一 
个 包 , 其 中 的 目的 地 址 是 未 知 的 ,就 将 此 包 广播 转发 到 本 交换 机 的 所 有 端口 上 。 所 以 当 一 台 
交换 机 上 断 电 后 重新 接 通 电源 时 ,因为 它 的 路 由 表 还 没有 建立 起 来 ,此 时 就 像 集 线 器 一 样 没有 隔 
离 作用 。 当 交换 机 工作 了 足够 长 的 时 间 后 ,内 部 的 路 由 表 已 经 建立 ,各 端口 的 数据 流 将 只 包含 
往返 于 本 接口 主机 或 多 播 和 广播 的 数据 流 。 如 果 此 时 已 经 包括 了 所 需要 的 数据 流 ,这 就 最 好 
不 过 了 。 但 是 如 果 网 络 管理 员 要 检测 全 部 的 网 络 数据 流 ,就 必须 使 用 其 他 的 接 人 方法 。 

不 能 在 一 个 网 络 接口 上 访问 到 所 有 其 他 网 段 的 数据 有 好 处 也 有 坏处 。 基 本 的 好 处 是 可 
以 通过 适当 的 网 络 设计 来 控制 和 隔离 对 网 络 数 据 流 的 访问 。 通 过 对 网 络 的 分 段 , 就 能 够 限 
制 对 数据 的 访问 范围 ,提高 局 部 的 安全 性 和 对 隐私 的 保护 。 

对 交换 机 实施 泛 洪 攻 击 : 有 些 交换 机 的 MAC 地 址 表 中 最 多 只 能 存放 4000 个 MAC 地 
址 , 当 MAC 地 址 表 被 占 满 溢出 后 会 像 集线器 一 样 失去 端口 隔离 功能 ,即将 每 个 端口 的 数据 
都 广播 到 所 有 端口 。MAC 地 址 泛 洪 攻击 的 方法 是 利用 ARP 协议 响应 包 发 送 大 量 的 虚假 
MAC 地 址 占 满 交换 机 的 地 址 表 , 使 其 无 法 正常 工作 ,而 交换 机 的 默认 设置 是 “无 法 实施 数 
据 交换 任务 时 ,就 将 数据 向 所 有 端口 开放 ”, 于 是 就 去 除了 端口 隔离 的 障碍 。 如 果 交 换 机 有 
安全 配置 防备 的 话 , 就 会 被 设置 为 “无 法 实施 数据 交换 任务 时 ,就 将 交换 机 所 有 端口 关闭 ”。 
在 Dsniff 中 有 一 个 程序 称 为 macof, 专 门 用 于 对 交换 机 进行 MAC 地 址 泛 洪 攻击 。 

2. 亲临 现场 与 利用 代理 进行 数据 捕获 

如 果 网 络 管理 员 要 监测 某 网 络 上 的 某 些 数 据 而 又 不 能 接触 该 网 段 时 ,有 几 种 方法 可 用 
来 解决 此 问题 : 首先 ,可 以 携带 笔记 本 电脑 到 网 络 的 关键 地 点 现场 收集 数据 ,缺点 是 操作 人 
员 必 须 亲 自 到 达 现场 ,这 有 时 是 不 可 能 实现 的 。 例 如 , 当 网 络 管理 员 面 临 解决 一 个 安全 问 
题 ,而 又 不 希望 被 别人 发 现 自己 的 企图 ,不 能 亲自 到 那些 可 疑 的 攻击 源 位 置 进行 监控 。 如 果 
管理 员 需 要 在 网 络 的 多 个 不 同 的 地 方 同时 收集 数据 ,显然 也 是 不 可 能 亲临 现场 去 做 的 。 

另 一 个 方法 是 在 网 络 上 不 同位 置 设置 多 台 探 测 计算 机 用 于 数据 收集 ,然后 可 以 用 
telnet、ssh、X-Window 等 软件 工具 来 远程 访问 它们 ,只 要 在 每 台 计 算 机 上 安装 这 些 适 当 的 
软件 即 可 。 有 些 软件 设计 时 就 具备 了 远程 探测 的 功能 ,例如 ,微软 的 netmon 支持 利用 
Windows 平台 作为 一 个 探测 器 来 收集 数据 流 。 来 自 这 些 监测 代理 计算 机 上 的 数据 ,能 够 用 
一 个 中 心 管理 计算 机 来 进行 汇总 收集 。 有 些 RMON 探测 器 也 能 实现 此 功能 。 

3. 交换 机 端口 的 数据 共享 功能 

如 图 7.9 所 示 , 在 使 用 交换 机 的 网 络 里 ,普遍 采用 两 种 方法 捕获 数据 。 一 种 是 在 需 监测 
的 交换 机 端口 上 串 接 加 入 一 个 集线器 ,将 集线器 的 一 端 接 到 交换 机 上 ,再 将 需要 监控 的 网 段 
连接 移 到 集线器 上 来 。 也 可 以 使 用 集线器 临时 代替 整个 交换 机 ,但 这 样 做 可 能 会 有 麻烦 , 因 
为 集线器 的 通信 容量 较 低 ,也 可 能 网 络 的 数据 流量 会 超过 集线器 能 承受 的 范围 。 较 好 的 方 
案 是 在 交换 机 的 监测 链 路 上 扩 接 一 个 集线器 。 
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图 7.9 ”利用 扩展 集线器 将 被 监测 端口 的 数据 流 分 路 共享 以 便 监测 i 


购买 一 个 小 型 的 便携 式 集线器 ,用 它 在 网 络 上 的 某 处 建立 一 个 探测 点 。 要 把 集线器 连 
接 到 交换 机 上 ,应 使 用 交叉 线 或 平行 线 这 两 种 网 络 线 连 接 电缆 ( 见 第 3 章 关 于 双 绞 线 电缆 的 
接线 方式 )。 应 当 有 这 两 种 连接 电缆 ,时 刻 备 用 。 另 一 方法 是 采用 一 些 专 为 内 入 网络 而 设计 
的 商业 设备 。 这 些 设备 包括 监测 交换 机 、 光 纤 分 路 器 ,还 有 用 于 连接 100Mbps 链 路 或 连接 
专用 协议 的 设备 。 应 当 仔 细 阅 读 交换 机 等 设备 的 使 用 手册 ,充分 发 挥 它们 的 功能 。 

4， 交换 机 端口 的 数据 映射 

有 些 交 换 机 可 以 将 某 个 端口 的 网 络 数据 流 同 时 映射 复制 到 另 一 个 监测 端口 上 。 某 些 型 
号 的 交换 机 可 以 动态 地 配置 交换 机 参数 ,把 某 端口 的 数据 流 复 制 到 一 个 监测 用 的 端口 ,而 其 
他 端口 继续 正常 执行 其 功能 ,这 种 检测 对 交换 机 的 运行 来 说 是 透明 的 。 该 技术 有 许多 名 字 ， 
在 Bay 的 网 络 产品 中 叫做 “conversation steering 会 话 操 纵 ”。 思 科 公 司 称 此 法 为 监视 或 使 
用 “spanning port 跨 界 端口 ”, 其 他 名 称 包括 “端口 假名 ”和 “端口 镜像 x?。 具 体操 作 可 参考 这 
些 交换 机 的 使 用 手册 。 图 7. 10 说 明了 用 交换 机 端口 镜像 来 接 人 监测 点 的 部 署 方案 。 


外 部 网 络 现场 数据 包 
捕获 中 


图 7.10 利用 交换 机 的 端口 数据 映射 功能 进行 数据 监测 


但 是 有 许多 型 号 的 交换 机 不 支持 这 种 将 端口 数据 多 路 转发 的 操作 ,或 对 其 功能 设置 了 
限制 。 某 些 交 换 机 只 允许 数据 流 的 从 低速 端口 (10Mbps) 转 到 高 速 端口 (100Mbps)。 男 一 
问题 是 某 些 种 类 的 有 差错 数据 包 会 被 交换 机 滤 除 掉 , 这 就 掩盖 了 可 能 的 网 络 故 障 问题 。 例 
如 , 当 包 出 现 了 帧 结构 错误 时 ,交换 机 一 般 都 将 这 些 包 丢弃 而 不 是 转发 。 正 常情 况 下 ,希望 
交换 机 丢弃 这 些 产 生 错 误 的 数据 包 , 以 提高 网 络 的 实际 乔 吐 量 , 但 在 网 络 诊断 的 情况 下 却 不 
希望 交换 机 这 样 做 。 必 须 仔 细 阅 读 所 用 交换 机 的 使 用 手册 。 


7.2.3 捕获 网 络 数据 流 的 方法 


利用 运行 在 网 络 主机 上 的 软件 或 者 采用 软 硬 件 相 结合 的 专门 设备 ,可 以 完成 网 络 数据 
包 的 捕获 。 捕 获 网 络 数据 流 的 专用 设备 往往 具有 高 性 能 的 接口 ,能够 毫 无 丢失 地 捕获 大 量 
高 速 数 据 和 有 差错 的 数据 帧 。 一 般 设备 的 常规 网 络 接口 当 数 据 流量 很 大 时 也 许 捕获 速度 会 
跟 不 上 ,导致 数据 包 的 丢失 。Wireshark 软件 可 以 给 出 网 络 数据 流 的 统计 结果 ,报告 网 络 上 
有 多 少数 据 包 , 而 实际 捕获 了 多 少数 据 包 等 。 如 果 网 络 的 数据 流 很 大 ,例如 电信 公司 的 主 网 
段 等 ,就 需要 考虑 使 用 高 速 的 硬件 设备 ,或 者 将 整个 网 络 分 段 成 若 干 子 网 ,以 减少 各 子 网 上 
的 流量 。 网 络 数据 流 的 捕获 与 分 析 用 于 网 络 运行 状态 的 监测 .病毒 样本 的 捕获 ,黑客 活动 的 
监控 等 。 
包 捕 获 软件 的 工作 是 先 将 网 络 接口 卡 设置 为 混杂 模式 。 在 一 些 系统 中 ,运行 包 捕获 软 
件 前 , 先 得 用 IPconfig 命令 手动 设置 网 络 接口 卡 为 混杂 模式 。 在 交换 式 网 络 中 ,网 卡 接收 
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的 数据 包 必 须 满足 以 下 条 件 : 目的 地 址 为 本 网 卡 的 单 播 地 址 的 数据 包 . 具 有 多 播 地 址 并 且 
与 本 机 接口 地 址 配置 相 吻合 的 数据 包 . 具 有 广播 地 址 的 数据 包 。 网 卡 在 混杂 模式 下 ,无 论 数 
据 包 的 目的 地 址 是 什么 ,所 有 数据 都 能 被 捕获 下 来 。 绝 大 多 数 网 卡 都 可 以 配置 成 混杂 模式 ， 
但 仍 有 一 些 网 卡 被 人 为 地 禁止 做 这 样 的 设置 。 


7.2.4 网 络 协议 分 析 软 件 Wireshark 


Wireshark 是 一 个 十 分 优秀 的 网 络 协议 分 析 软 件 , 它 的 曾 用 名 是 Ethereal。 本 节 介 绍 的 
Wireshark 版 本 是 0. 99.0。 最 新 版 本 的 下 载 网 站 是 http://www. wireshark. org。 本 节 内 
容 基本 可 以 满足 普通 网 络 用 户 的 使 用 ,如 果 要 利用 它 的 更 多 分 析 统 计 功 能 进行 深入 的 网 络 
安全 分 析 研 究 ,可 参看 附件 参考 资料 。 

1. Wireshark 的 主 界 面 

Wireshark 的 主 界面 如 图 7. 11 所 示 。 窗 体 的 主要 部 分 : 包 概 况 窗 体 (Summary 
Window) ,协议 树 窗 体 (Protocol Tree Window)、 包 数据 显示 窗 体 (Data View Window) 和 
过 滤器 工具 栏 (Filter Bar) 。 过 滤器 工具 用 于 选择 在 包 概 况 窗 口中 将 显示 哪些 类 型 的 数据 

包 , 只 有 符合 过 滤 条 件 的 数据 包 才 会 显示 在 包 概 况 窗 体 中 。 状 态 栏 (Statusbar) 显示 捕获 文 
件 的 路 径 名 和 协议 树 窗 体 中 的 协议 字段 信息 。 


捕获 包 序号 捕获 时 间 ” 源 地 址 目的 地 址 。 上 层 协 议 包 内 容 提要 


Destination 


192.168.0.1 
192.168.0.1 
192 01 


192.168.0.1 


4 0.015049 192.168.0.1 192.168. 0.101 TCP [TCP sec 
9 0.019039 192.168.0.1 192-168. 0-101 TCP [TCP sec 
10 0.019095 192.168.0.101 192.168. TCP 2054 > 
11 0.019222 192.168.0.1 4938.168: -101 [TcP set 
13 0.019821 192.168.0.101 192.168.0.1 2054 > 
四 
< > 
-| Frame 6 C200 bytes on wire, 1200 bytes captured) ^ 
协议 树 | | Ethernet IT，src: LinksysG_8d:be:1d C00:06:25:8d:be:1d), Dst: Intel. 
4 ll Internet Protocol, src: 192.168.0.1 (192.168.0.1), Dst: 192.168.0.1( 
窗 体 a Transmiss<inn FAnrrn] prnrnrn1 <rr pArr. SA7R (SR7RY Ner parr. 2N5e 计 


< > 
罗 po e553 87 99 00 05 25 89 be 1 08 00 45 00 


包 数 据 J 
显示 窗 体 1 


状态 栏 


网 


包 内 字 节 序号 。” 包 的 十 六 进 制 代码 区 包 的 ASCII 代 码 区 
图 7.11 网 络 协议 分 析 Wireshark 的 界面 


加 


(1) 包 概 况 窗 体 
上 部 窗 格 中 显示 捕获 文件 中 的 每 个 数据 包 的 概况 ,一 行 显示 一 个 包 。 各 包 的 基本 信息 


”221。 


分 列 显示 ,每 列 的 内 容 如 表 7. 1 所 示 ,该 表 中 的 实例 是 图 7. 11 中 被 选中 的 6 号 数据 包 。 


表 7.1 Wireshark 界面 “ 包 概况 窗 体 "各 列 的 内 容 及 实例 


列 名 称 描 述 图 7. 11 中 数据 实例 

区 捕获 数据 中 各 数据 包 的 序号 6 

Time 捕获 到 该 数据 包 的 时 刻 (以 秘 为 单位 | 0 的， 轩 奖 到 次 人 
和 该 包 中 的 源 地 址 。 可 以 是 下 地 址 ,物理 | io J68 0 1 的 大 也 二 志 ) 


MAC 地 址 或 其 他 协议 类 型 的 源 地 址 


Destination 


该 包 中 的 目的 地 址 。 可 以 是 IP 地 址 、 物 


理 MAC 地 址 或 其 他 协议 类 型 的 地 址 。 | 192. 168. 0. 101( 此 包 的 目的 IP 地 址 ) 


了 Protocol 


Info 


该 包 中 的 高 层 协 议 类 型 。 诸 如 ,TCP、 


UDP、HTTP、FTP 和 SMTP 等 TCP( 该 包 的 传输 层 协议 为 TCP) 


TCP segment of a reassembled PDU( 包 中 只 
含 上 层 协 议 数据 单元 中 的 一 个 分 段 ,未 含 整 
个 网 页 内 容 ) 


该 包 的 主要 内 容 ,概况 描述 


在 概况 窗 体 ( 上 部 ) 中 被 选中 的 包 会 在 协议 树 窗 体 (中 部 ) 和 数据 显示 窗 体 (下 部 ) 中 逐 层 
分 解 ,显示 出 更 加 细节 的 信息 ,便于 进一步 解剖 分 析 该 数据 包 。 

(2) 协议 树 窗 体 

在 中 部 窗口 中 ,把 选中 的 一 个 数据 包 内 含 的 协议 层 关系 用 树 形 结构 逐 层 展开 。 每 一 
协议 行 左 端 都 有 一 个 可 展开 的 节点 “十 ”, 单 击 它 可 获得 该 协议 的 更 详细 信息 。 仍 然 用 
图 7.11 中 的 第 6 号 数据 包 为 例 进行 说 明 , 如 表 7.2 所 示 。 


表 7.2 Wireshark 界面 中 部 “协议 树 窗口 Protocol Tree Window” 实 例 


协议 层 协 议 描述 (图 7.11 中 第 6 号 包 内 数据 ) 

数据 帧 序号 Frame 1200 bytes on wire, 1200 bytes captured 
Src Addr: 00:06:25:8d:be:1d, Dst Addr: 00:07: 

i es 69:53:87:d9 源 与 日 的 MAC 地 址 
网 络 层 Internet Protocol (IP) et a 本 Dsr Ca I 168: or 
传输 层 Transmission Control Protocol | Src Port: 5678, Dst Port: 2054, Seq: 127, Ack: 

pe (TCP) 428，Len:1146 源 与 日 的 端口 号 、 序 列 号 .确认 号 
应 用 层 该 包 内 封装 的 是 应 用 层 数据 的 一 个 分 段 

(3) 包 数 据 窗口 

参看 图 7. 11, 下 部 “数据 显示 窗 体 ” 中 的 每 一 行 由 三 部 分 的 数字 和 字符 组 成 : @ 左 列 是 


4 个 十 六 进 制 数 ,表示 右边 第 1 个 字 节 在 数据 包 中 的 序号 (offset)。 每 1 个 十 六 进 制 数 代表 


4 比特 , 字 节 


节 序 号 用 4 个 十 六 进 制 数 表示 。@ 接 着 是 16B 的 包 中 数据 ,用 2 个 十 六 进 制 数 表 


示 1B( 即 8 个 比特 )。 包 中 数据 按 16B 长 分 段 , 每 段 显示 为 一 行 , 左 侧 字 节 号 是 该 行 中 第 
1 个 字 节 的 序号 ;@ 最 右 侧 是 16 个 ASCII 译 码 的 字符 , 它 是 中 部 的 16B 数据 的 ASCII 码 翻 
译文 本 ,其 中 *. ”是 “ 占 位 符 ”, 代 蔡 数 据 中 的 非 ASCII 码 。 中 间 各 字 节 数据 与 右 侧 各 字符 的 
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位 置 相互 对 照 ,请 参看 附录 下 。 

当中 部 “协议 树 窗口 ?中 的 某 字 段 被 选中 时 ,相应 的 字 节 数据 也 会 在 下 部 “数据 显示 窗 
口 ? 中 高 亮 显 示 。 从 这 两 个 窗口 的 数据 对 照 显 示 :可 直观 地 看 到 在 一 个 网 络 数据 包 中 : 数据 
比特 ~ASCII 文本 编码 一 各 种 协议 数据 中 的 字段 一 各 协议 字段 的 含义 解释 等 。 每 一 种 协议 
包 中 各 字段 的 含义 和 解释 请 参看 各 章 中 对 每 种 协议 数据 包 结构 图 的 介绍 。 

2. Wireshark 的 功能 菜单 及 其 使 用 

1) File( 文 件 ) 菜 单 

单 击 Wireshark 主 界面 左上 角 的 File 菜单 ,显示 下 拉 功 能 菜单 如 表 7. 3 所 示 。 


表 7.3 File 菜单 选项 及 功能 


菜单 选项 功 能 描 述 

Open… 打开 一 个 已 捕获 数据 文件 

Open Recent 打开 最 近 使 用 过 的 捕获 文件 

Merge 允许 打开 另 一 个 捕获 文件 ,将 其 拼合 到 当前 装载 的 捕获 文件 中 

Close 关闭 当前 装载 的 捕获 文件 

Save 保存 当前 装载 的 捕获 文件 

Save As… 将 当前 装载 的 捕获 文件 以 另 一 种 文件 类 型 保存 

File Set 文件 设置 (文件 目录 显示 ) 

允许 数据 显示 窗 体 中 被 高 亮 选 中 的 部 分 数据 以 纯 文本 、PS、CSV、 PSML、 
PDML 格式 输出 

Print… 打印 当前 装载 的 捕获 文件 

Quit 退出 Wireshark 


(1) Open( 打 开 文 件 ) 对 话 框 

图 7.12 是 单 击 File>Open … 后 弹出 的 打开 文件 对 话 框 。 由 于 网 络 上 的 实时 数据 流量 
很 大 ,一 般 是 先 将 数据 实时 捕获 保存 为 . pcap 文件 ,再 进行 后 期 研究 分 析 ,例如 ,分 析 网 络 用 
户 的 合法 或 非法 活动 等 。 


查找 范围 中 | 局 捕 训 数据 样本 辐 


总 TIsvl 邮件 至 训 吕 新 浪 同 ] 

Ee 多 tracert 路 由 跟踪 数据 样本 个 视频 点 播 漳 
你 nF 端 口 14694 你 云 大 网 页 登 引 

加 人 本 机 可 蜂 WIP 铀 口 8323 外 联 全 云 大 下 载 vi 
您 电子 邮件 捕 效 样本 翁 招行 登 录 ssl 

网 P| 图 i 国 | 


文中 到 
文件 类 型 5 |All Files (x *) 豆 取消 | 
jy MAC name tesotion 将 JUAC 地 址 解析 为 厂商 名 


厂 Nawak rameiesoion 将 地 址 解析 为 域名 
Jv Tensport name resokition 将 传输 技 端口 号 解析 为 端 日 名 


图 7.12 打开 文件 Open 对 话 框 


除 提供 正常 的 文件 导航 功能 外 ,Open Capture File 对 话 框 还 提供 文件 Filter 过 滤 功 能 : 
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在 Filter 框 中 输入 显示 过 滤 字 符 串 ,可 只 显示 捕获 文件 中 符合 过 滤 条 件 的 数据 包 。 

Open Capture File 对 话 框 提供 了 3 种 名 字 解 析 选 项 ,用 来 翻译 MAC、Network 和 
Transport 名 字 : 

@ MAC name resolution: 将 MAC 地 址 的 前 3 个 字 节 ( 即 网 卡 厂商 代码 字 节 ) 翻 译 为 
设备 制造 商 名 称 ,如 MAC 地 址 00:00:0c:35:0e:1c 会 解析 为 Cisco_35:0e:1c。 对 于 著名 厂 
商 的 MAC 地 址 中 的 代码 ,直接 给 出 厂商 的 名 称 ; 

@ Network name resolution: 将 进行 反 向 域名 解析 查找 与 IP 地 址 匹配 的 域名 ,如 IP 
地 址 66. 35. 250. 150 可 被 解析 显示 为 slashdot. org ,反之 亦 然 ; 

@ Transport name resolution: 将 显示 包 中 每 个 传输 层 端口 的 名 称 , 例 如 ,将 80 端口 直 
接 解 释 显 示 为 http 服务 端口 名 。 

(2) Save As( 另 存 为 ) 对 话 框 

单 击 主 界面 File>Save As 后 弹出 另存 为 对 话 框 。 可 在 其 中 的 File Format( 下 拉 菜 单 ) 
中 选择 各 种 存储 格式 ,以 支持 其 他 捕获 文件 格式 ;同时 ,可 选择 保存 数据 包 的 范围 : All 
packets( 所 有 包 )、Selected packets( 选 中 的 包 ) 和 Range( 指 定 包 序号 的 范围 )。 保 存 的 数据 
包 可 以 是 当前 捕获 的 (Captured) 所 有 包 . 也 可 以 是 显示 (Displayed) 在 Summary Window 中 
的 包 。 

(3) Print( 打 印 ) 对 话 框 

图 7.13 是 单 击 File>Print 后 弹出 的 打印 对 话 框 。 打 印 之 前 必须 决定 如 何 进行 打印 、 
打印 哪些 数据 包 , 以 及 要 打印 包 中 的 哪些 信息 。 可 将 捕获 数据 输出 为 文本 文件 ,以 便 复 制 到 
Word 文件 中 写 出 分 析 报 告 。 


Printer 


Or yey 
© Eostseript 
DO output to file: wiresherk out | ”Browse 
Packet Range Packet Format | 
回 Packet sommary line 
© ma packets 10 可 回 Packet details: 
© gelected packet only 1 了 © Al collapsed 
Welked puckats only 9 G © hs displayed 
OO Fron First lo lart marked pucket 0 站 ©O AH ezpanded 
© Specify spacket ranee: 0 5 DD Packet bytes 
DD Fach packet on a new page 


Help Brint Cancel 


图 7.13 打印 Print 对话 框 


Q@ Printer: 选择 打印 输出 的 格式 ,Plain text( 纯 文本 ) 还 是 PostScript(PS 文本 )。 选 择 
Output to file, 并 确定 输出 文件 的 路 径 和 名 称 ,数据 包 便 可 输出 到 相应 文件 中 。 

@ Packet Range: 选择 输出 包 的 范围 : All packets( 所 有 数据 包 )、Selected packets 
only( 选 中 的 包 ) .Marked packets only( 已 标记 的 包 )、From first to last marked packet( 从 
第 一 个 到 最 后 一 个 已 标记 的 包 ) ,Specify a packet range( 指 定 包 的 序号 范围 ) 。 

@ Packet Format: 选择 打印 一 个 包 中 的 哪些 信息 。 

» 224 


若 只 选择 Packet summary line( 包 摘要 行 ) : 将 只 输出 选 定 数据 包 中 的 一 行 摘要 信息 。 
例如 ,对 图 7.11 中 的 6 号 数据 包 将 会 输出 为 如 下 文本 文件 : 


No. Time Source Destination Protocol Info 
6 0.01126 192.168.0.1 192.168.0.101 TCP [TCP segment of a reassembled PDU] 


若 同 时 选择 Packet details( 包 详细 信息 ): 则 可 输出 更 多 6 号 包 在 中 窗 格 协议 树 窗 口中 
的 信息 。 选 择 All collapsed( 全 部 折 番 ): 则 不 输出 中 窗 格 的 子 树 信息 ,例如 : 


Frame 6(1200 bytes on wire, 1200 bytes captured) (第 6 号 帧 ,1200 字 节 在 线 ,1200 字 节 被 捕获 ,二 
者 的 数值 可 以 不 同 , 因 为 有 时 只 需要 了 解 和 分 析 每 个 包 的 头 部 信息 。) 

Ethernet II，Src: LinksysG 8d:be:1d (00:06:25:8d:be:1d), Dst: Intel 53:87:d9 (00:07:e9: 
53:87:d9) (以 太 网 版 本 II, 源 主机 Mac 地 址 ,目的 主机 MAC 地 址 。) 

Internet Protocol, Src: 192.168. 0.1 (192.168.0.1), Dst: 192.168.0. 101 (192.168.0.101) ( 源 和 日 
的 IP 地 址 ) 

Transmission Control Protocol, Src Port: 5678 (5678), Dst Port: 2054 (2054), Seq: 127, Ack: 
428，Len: 1146 (传输 控制 协议 (TCP) 的 源 端 口号 ,日 的 端口 号 , 帧 序号 ,确认 号 ,数据 段 长 度 ) 


打印 As displayed( 当 前 显示 ): 则 按照 当前 显示 的 内 容 输出 ,例如 : 


Frame 6 (1200 bytes on wire, 1200 bytes captured) 

第 6 号 帧 (1200 字 节 在 线 ,1200 字 节 捕获 ) 
Ethernet II，Src: LinksysG 8d:be:1ld (00:06:25:8d:be:1d), Dst: Intel _ 53:87:d9 (00:07:e9: 
53:87:99) 双 方 物理 地 址 
Internet Protocol, Src: 192.168.0.1 (192.168.0.1), Dst: 192.168.0.101 (192.168.0.101) 双 方 
IP 地 址 


Version: 4 IP 协 议 版 本 4 

Header length: 20 bytes 头 部 长 度 

Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 差分 服务 字段 
Total Length: 1186 IP 包 总 长 度 , 单 位 : 字 节 

Identification: 0x0002 (2) 标志 字段 (数据 报 序号 ,与 源 IP 地 址 结合 可 唯一 标识 此 IP 包 ) 
Flags: 0x00 标记 字段 (用 于 控制 此 IP 包 的 分 段 处 理 ) 
Fragment offset: 0 分 段 偏 移 量 

Time to live: 150 生存 期 (TTL) 

Protocol: TCP (0x06) 上 层 协议 : TcP (该 协议 的 类 型 字段 为 0x06) 
Header checksum: 0x9e9d [correct] 头 部 校 验 和 

Source: 192.168.0.1 (192.168.0.1) 源 IP 地 址 


Destination: 192.168.0.101 (192.168.0.101) 目的 IP 地 址 
Transmission Control Protocol，Src Port: 5678 (5678), Dst Port: 2054 (2054), Seq: 127, Ack: 
428, Len: 1146 传输 控制 协议 (TCP) , 源 和 目的 端口 号 ,序列 号 ,确认 号 ,数据 段 长 度 


打印 All expanded( 展 开 的 所 有 子 树 ): 输出 展开 “十 ”后 的 包 中 所 有 信息 。 限 于 篇 幅 ， 
不 再 列 出 这 些 信息 。 上 例 中 展开 的 信息 与 图 4. 15 的 IP 包 中 各 字段 内 容 完全 对 应 。 
若 同 时 选择 Packet bytes( 包 字 节 ): 可 打印 输出 该 包 的 十 六 进 制 原始 数据 及 其 对 应 的 
ASCII 译 码 ,也 就 是 Data View Window( 下 窗 体 ) 中 的 数据 。 这 对 于 分 析 恶 意 代码 或 特征 码 
十 分 有 用 。 见 以 下 实例 : 
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0000 0007e9 53 87 d9 00 06 25 8dbe 1d 08 00 45 00 SE 
0010 04a2 000200009606 9e 9d c0 a8 00 01 c0 a8 所 
0020 0065 16 2e 08 06 60 d2 40 6f 7e9ba2 cc 50 10 @o~...P. 
0030 16 d0 90 2000 00 3c 3f 78 6d 6c¢ 20 76 65 7273 ..» ..<?xml vers 
0040 69 6f 6e 3d22312e30 22 3f 3e 0d 0a 3¢ 72 6f ion="1.0"?>..<ro 
0050 6f 7420786d6c6e73 3d 22 75 72 6e 3a 73 63 ot xmlns="urn:sc 
0060 68656d61732d7570 6e 70 2d 6f 72 67 3a 64 hemas-upnp-org:d 
0070 _65 76 6963 65 2d 312d 30 22 3e 0d 0a 09 3c73 evice-1-0">... 
二 = 到 t 
(每 行 首 个 字 节 序号 ) ”( 包 中 数据 分 段 显 示 ， 每 行 16B) ”( 左 侧 16B 译 码 为 16 个 ASCII 字 符 ) 


2) Edit( 编 辑 ) 菜 单 


单 击 图 7. 11 主 界面 的 Edit 菜单 , 列 出 它 的 编辑 菜单 选项 及 功能 ,如 表 7.4 所 示 。 


表 7.4 编辑 Edit 选项 及 功能 


菜单 选项 功 能 描 述 
Find Packet… 用 显示 过 滤器 ,查找 数据 包 ,或 者 匹配 的 十 六 进 制 串 或 字符 串 
Find Next 在 查找 包 对 话 框 中 ,查找 下 一 个 相 匹 配 的 包 


Find Previous 


Time Reference 


在 查找 包 对 话 框 中 ,查找 上 一 个 相 匹 配 的 包 
为 当前 选 定 的 包 设置 参考 时 间 , 详 见 Time Reference 子 菜单 


Mark Packet (toggle) 


Mark All Packets 
Unmark All Packets 


Preferences… 


给 在 包 概 况 窗 体 中 选 定 的 包 做 标记 。 对 于 已 做 标记 的 数据 包 , 该 操作 是 
撤销 标记 。 通 过 给 包 做 标记 ,提供 了 一 种 可 以 手动 选择 一 个 或 多 个 包 的 
功能 ,用 作 随 后 的 打印 或 保存 


标记 所 有 符合 当前 显示 过 滤 条 件 的 包 
撤销 对 所 有 符合 当前 显示 过 滤 条 件 的 包 的 标记 


更 改 用 户 参数 选择 ,包括 包 的 解析 参数 


(1) Find Packet( 查 找 包 ): 图 7. 14 是 单 击 Edit>Find Packet… 后 弹出 的 对 话 框 。 利 
用 此 功能 可 很 方便 地 从 海量 的 数据 包 中 迅速 搜索 出 所 需要 的 数据 包 。 


Find 
By © Display filter O lex value O String 


String Options 


图 7.14 Edit 的 Find Packet 对 话 框 


Q@ 图 7.14 的 Find 区 域 选择 查找 标准 有 3 种 : 
标准 1: 用 Display filter( 显 示 过 滤器 ) 进 行 包 过 滤 。 在 文本 框 中 输入 过 滤 条 件 , 或 单 击 
Filter 在 列 出 的 显示 过 滤器 清单 中 选择 ,再 单 击 Find 即 在 捕获 文件 中 过 滤 需 要 的 包 ; 在 
Filter 框 中 输入 表达 式 或 字符 串 时 要 注意 . 若 输 入 字符 串 不 符合 规范 ,文本 框 背 景色 为 红 
色 , 若 输入 正确 , 则 文本 框 背 景 为 绿色 。 
标准 2: 查找 与 Hex value( 十 六 进 制 字 段 ) 相 匹配 的 包 。 在 文本 框 中 输入 十 六 进 制 
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字 串 , 单 击 Find 按钮 即 可 查找 相应 的 十 六 进 制 串 所 在 的 包 , 可 迅速 找到 含 特 征 代 码 
的 包 ; 

标准 3: 查找 含有 String( 字 符 匹 配 串 ) 的 包 。 在 Filter 框 中 输入 字符 串 , 单 击 Find 按 
钮 即 可 查找 相应 的 字符 串 所 在 的 包 。 选 择 该 选项 时 ,可 激活 Search In 和 String Options 。 

@ 图 7.14 的 Search In 栏 ,上 部 为 包 概 况 窗 体 中 的 Packet list( 包 列表 ) ,中 部 为 Packet 
details( 详 细 内 容 窗口 ) ,下 部 为 在 Packet bytes( 数 据 窗口 ) 中 搜索 。 

@ 图 7.14 中 String Options 栏 选择 搜索 字符 是 否 区 分 大 小 写 (Case sensitive) ,以 及 要 
进行 匹配 的 字符 集 (Character Set) 范 围 。 

@ 图 7.14 中 Direction( 选 择 包 序号 ) 是 按 降序 搜索 (Down) 还 是 升序 搜索 (Up) 。 

(2) Time Reference( 人 参考 时 间 ) : 此 选项 及 功能 如 表 7. 5 所 示 。 

表 7.5 Edit 的 Time Reference 选项 及 功能 
功 能 描 述 

在 包 概况 窗 体 中 设置 当前 选 定 的 数据 包 为 参考 0 时 刻 
查找 当前 选 定数 据 包 的 下 一 个 参考 时 间 包 
查找 当前 选 定数 据 包 的 上 一 个 参考 时 间 包 


菜单 选项 
Set Time Reference (toggle) 


Find Next 


Find Previous 


主 界面 的 Edit 菜单 的 参考 时 间 设 置 十 分 简单 ,如 选 定 6 号 包 为 参考 时 间 包 , 则 6 号 以 
后 的 所 有 数据 包 均 以 6 号 包 为 起 始 0 时 刻 进行 计时 ,这 样 做 便于 计算 出 两 个 包 或 多 个 包 之 
间 的 时 间 间 隔 , 用 于 判断 网 络 性 能 和 各 种 延迟 等 。 例 如 ,测量 当 客 户 进程 发 出 请 求 包 后 , 服 
务 器 返回 响应 包 的 延迟 时 间 。 

(3) 参数 设置 Preferences…: 图 7. 15 是 单 击 主 界面 Edit 一 Preferences… 后 弹出 的 对 
话 框 。 可 对 Wireshark 的 协议 解析 器 进行 参数 设置 。 可 对 Summary Window 的 列 进行 设 
置 , 可 增 、 删 \ 修 改 列 名 及 其 属性 。 而 更 改 协 议 参 数 , 则 可 改变 协议 的 解码 和 显示 方式 。 修 改 
完毕 后 , 单 击 Save 保存 设置 。 


Wireshark: Preferences — Profile: Default 


BB User Interface 


Columns 


Font 
Colors 
Capture 


Printing 


O zone 
© Packet List ©O Packet List 
weakaas © Packet Details (© Packet Jetails 


Nane Resolution 


Statistics 


图 7.15 Edit 菜 单 的 Preferences 对 话 框 


3) View( 视 图 ) 菜 单 
图 7.11 主 界面 上 部 View 的 菜单 选项 及 功能 ,如 表 7.6 所 示 。 
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表 7.6 主 界面 的 View 菜单 选项 及 功能 


菜单 选项 功 能 描 述 

Main Toolbar 显示 或 隐藏 工具 栏 

Filter Toolbar 显示 或 隐藏 过 滤 工 具 栏 

Statusbar 显示 或 隐藏 状态 栏 

Packet List 显示 或 隐藏 Summary Window 

Packet Details 显示 或 隐藏 Protocol Tree Window 

Packet Bytes 显示 或 隐藏 Data View Window 

二 在 Sa Window 中 的 时 间 格 式 。 设 置 显示 时 间 .日 期 .年 月 的 各 种 
格式 及 显示 精度 

和 名 字 解 析 。 用 来 设置 是 否 对 MAC 层 地址 、 网 络 层 地 址 和 传输 层 端口 号 
进行 名 字 解 析 

Colorize Packet List 用 不 同 颜色 区 分 显示 各 种 不 同 协议 的 数据 包 , 方 便 阅 读 


Auto Scroll in Live Capture 在 新 数据 包 到 来 时 Summary Window 实时 自动 卷 屏 列 出 该 包 
Zoom In 增 大 屏 显 字体 


Zoom Out 缩小 屏 显 字体 

Normal Size 恢复 正常 屏 显 字体 

Resize All Columns 调整 列 宽 以 适应 显示 内 容 的 大 小 

Expand Subtrees 扩展 显示 当前 选 定数 据 包 的 子 树 

Expand All 扩展 显示 当前 Protocol Tree Window 中 的 所 有 子 树 

Collapse All 折 释 当前 Protocol Tree Window 中 的 所 有 子 树 ,只 显示 根 root 信息 
i 编辑 颜色 标识 器 ,为 Summary Window 中 的 数据 包 进 行 着 色 显 示 ,以 匹 


配给 定 的 协议 或 显示 过 滤 串 

为 在 Summary Window 中 新 选中 的 数据 包 打 开 一 个 新 的 Protocol Tree 
Window 和 Data View Window。 这 样 可 以 同时 查看 多 个 包 的 详细 内 容 
Reload 重新 载 人 当前 的 捕获 文件 


Show Packet In New Window 


Coloring Rules…( 着 色 规 则 ): 

图 7. 16 是 单 击 View 一 Coloring Rules… 后 弹出 的 着 色 规 则 对 话 框 。 可 将 满足 指定 条 
件 的 不 同 的 协议 包 设置 为 不 同 的 颜色 显示 ,以 便 区 分 读 取 。 

因为 捕获 到 的 真实 网 络 数据 流 是 各 种 各 样 协议 包 的 大 混杂 .Wireshark 可 对 Summary 
Window 中 的 同 种 协议 类 型 的 数据 包 采 用 不 同 彩色 显示 ,方便 于 识别 混杂 在 一 起 的 同类 型 
的 包 。 这 对 跟踪 具有 “请 求 /应 答 ” 机 制 的 协议 数据 包 ( 如 TCP 协议 ) 是 非常 有 用 和 方便 的 。 
创建 一 个 新 的 颜色 标识 选项 ,首先 要 单 击 Coloring Rules 对 话 框 上 的 New 按钮 ,弹出 如 
图 7.17 所 示 Edit Color Filter 对 话 框 ( 颜 色 标识 器 编辑 ) 。 

在 对 新 过 滤器 命名 之 后 ,就 要 输入 过 滤 条 件 表达 式 。 此 处 可 以 直接 输入 ,也 可 单 击 
Expression… ,在 弹出 的 过 滤 表 达 式 对 话 框 中 构造 过 滤 串 。 然 后 , 单 击 Foreground Color… 
和 Background Color… ,选择 需要 的 前 景色 和 背景 色 。 一 切 就 绪 单 击 OK 按钮 ,新 的 着 色 方 
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3 Ethereal: Coloring Rules 


lListis processed in order until match is found) 


| selected fiter 
up or down 


smb ll nbss I| nbns I| nbipx | ipxsap I| netbios 
a 一 一 一 


图 7.16 View 菜单 的 Coloring Rules 对 话 框 


Wireshark: Edit Color Filter — Profile: Default [II 区 
了 Filter 
Name; [HTTP 


String: [httpl - [Expression .| 


Display Colors— 一 [status 一 


Foreground Color Backeround Color Disabled 


图 7.17 View 菜单 的 Edit Color Filter 对 话 框 
案 即 生效 。 若 要 将 着 色 方 案 输出 到 其 他 捕获 文件 中 或 引入 其 他 文件 的 着 色 方 案 , 单 击 
Coloring Rules 对 话 框 中 的 Export… 或 Import… 即 可 。 
4) Go( 跳 转 ) 菜 单 
图 7.11 的 主 界面 Go 菜单 的 选项 及 功能 ,如 表 7.7 所 示 。 
表 7.7 主 界面 Go 菜单 的 选项 及 功能 


项 | 
Back 跳 转 到 访问 记录 中 最 近 访 问 过 的 包 
Forward 跳 转 到 下 一 个 访问 过 的 包 ( 以 上 次 访问 的 包 为 参考 ) 
Go to Packet… 跳 转 到 指定 序号 的 数据 包 


跳 转 到 当前 选中 的 协议 字段 的 相应 的 数据 包 那 里 ,如 果 所 选 的 字段 
与 包 不 相符 合 ,该 项 目 将 呈 灰 色 


First Packet 跳 转 到 捕获 文件 的 第 一 个 数据 包 
Last Packet 跳 转 到 捕获 文件 的 最 后 一 个 数据 包 


Go to Corresponding Packet 


5) Capture( 包 捕获 ) 菜 单 
图 7.11 主 界面 Capture 的 菜单 选项 及 功能 ,如 表 7.8 所 示 。 


» 229 。 


表 7.8 主 界面 上 Capture 的 菜单 选项 及 功能 描述 


菜单 选项 功 能 描 述 
Interfaces… 主机 的 所 有 网 络 接口 列表 ,选择 进行 数据 捕获 的 网 络 接口 
Options… 设置 进行 捕获 的 各 种 选项 
Start 开始 捕获 指定 网 络 接口 上 的 数据 包 
Stop 停止 捕获 指定 网 络 接口 上 的 数据 包 
Restart 重新 开始 捕获 数据 
Capture Filters… 编辑 和 设置 捕获 过 滤器 


(1) Capture Interfaces( 捕 获 网 络 接口 ) 

图 7. 18 是 单 击 Capture 一 Interfaces… 后 弹出 的 Capture Interfaces 对 话 框 。 其 中 
Description 列 出 了 当前 主机 所 有 的 网 络 接口 及 其 描述 。 给 出 每 个 网 络 接口 的 卫 地 址 ,如 
果 不 能 解析 (例如 无 DHCP 服务 器 可 用 ) ,将 在 相应 接口 的 IP 部 分 显示 unknown。 若 某 接 
口 的 IP 地 址 不 止 一 个 , 则 只 显示 第 一 个 。Packets 和 Packets/s 两 列 分 别 显示 自从 对 话 杠 
打开 后 ,从 相应 接口 探测 到 的 包 的 数量 ,以 及 每 秒 内 包 的 数量 。 每 个 网 络 接口 都 有 一 组 按钮 
对 应 : Capture( 立 即 开 始 捕获 )、.Prepare( 设 置 捕获 参数 )( 单 击 后 弹出 Capture Options 对 话 
框 )、Details( 接 口 详情 )( 单 击 后 弹出 Interface Details 对 话 框 ) 。 


A Ethereal: Capture Interfaces 网 络 接 口上 的 包 数 国 网 络 接口 上 每 秒 的 包 数 上 回 因 


本 机 网 络 接口 清单 Descripton Ip 、 packels Packetsls 
Generic dialup adapler 网 络 接口 描述 网 口 fP 地 址 286 19 (capture][Prepare][Detais 


D-Link DFE-530TX PC! Fast Ethemet Adapter (rev.C) (Microsoft's Packet Scheduler) 169.254.60, Capture | | Prepare | | Details 
始 捕获 该 

VMware Virtual Ethernet Adapter 192168.145. 可 反共 访 Capture | | Prepare | | Details 
数据 包 


VMware Virtual Ethermet Adapter 192.168.3.1 Capture Prepare | Details 
WAN (PPPISUP) Interface 61.159.247.26 286 Cohn Prepare || Details 


VCD VNC Adapter (Microsoft's Packet Schedulen Capture || Prepare || Details 
关闭 窗口 EE 网 络 接口 详细 信息 


图 7.18 选择 Capture Interfaces 进行 数据 捕获 


(2) Capture Options( 捕 获 选项 ) 对 话 框 

在 图 7.11 的 主 界面 上 单 击 Capture 习 Options… 弹 出 的 Capture Options 对 话 框 如 
图 7.19 所 示 。 在 设置 捕获 数据 选项 时 必须 考虑 以 下 问题 : 要 捕获 哪个 网 络 接口 上 的 数据 、 
对 每 个 包 捕获 多 少 字 节 、 捕 获 数据 的 存储 位 置 、 怎 样 显示 这 些 信息 、 如 何 自动 停止 捕获 等 。 
以 下 描述 参看 图 7. 19。 

@ Capture 栏 ,设置 要 捕获 什么 类 型 的 网 络 数据 。 

。 在 Interface 的 下 拉 菜 单 中 选择 要 捕获 数据 包 的 网 络 接口 。 如 果 找 不 到 要 捕获 的 接 

口 ,直接 在 文本 条 中 输入 。 
。 IP address 为 选 定 网 络 接口 的 IP 地 址 。 
。 选择 Capture packets in promiscuous mode( 在 混杂 模式 下 捕获 数据 包 复 选 框 ), 则 
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本 FEthereal: Capture Options 


Capture- 
Interface: | D-Link DFE-530TX PCI Fast Ethemet Adapter (rey.C) (Microsofts Packet {] 
IP address: 169.254.60.29 | 选 定 接口 的 人 P 地 址 。 车 全 不 能 解析 ， 显 示 unknown 
Link-layer header type Es v |Bufier size: 1 megabyte(s) 缓存 大 小 

] Capture packets in promiscuous mode | 在 混杂 模式 下 捕获 数据 包 | 

中 Limit each packetto 68 bvtes 限制 捕获 数据 包 的 尺寸 
Capture Fier] | 捕获 过 滤 条 件 输入 ， 只 捕获 满足 条 件 的 数据 包 CE] 

Capture File(s)-| 捕获 内 容 的 存储 位 置 Display options| 显示 设置 

FI Cen elAnel no ea Update list of packets in real time 

回 Use mutiple files[ 多 捕获 文件 连续 存储 | 实时 刷新 Summary Window 

| Automatic scrolling in live capture 

加 Notfle eey | 目 | meoowet 国 | 条 如 近 包 祝 江 加 作 包 概括 玉 尼 

Nedfleevey 11 日 mnuee) 国 | TE Hide capture info dialog 

回 Ringbufferwih 2 四 es 隐藏 捕获 信息 

回 Stop capture after 1 ecs) “| 名 称 解 析 设 置 

ETTRIETS 
回 -afer 1 packetts) 


回 Enable network name resolution 


Oafer | megabyie(s)  ¥ IP 地 址 的 对 应 域名 解析 


nn [| minute(s) 回 Enable transport name resolution 


端口 的 对 应 服务 名 称 解 析 


图 7.19 ”Capture Options 对 话 框 


可 捕获 所 有 该 网 络 接口 能 探测 的 数据 包 , 有 关 网 卡 的 工作 模式 请 参看 第 7.2. 3 节 。 
选择 Limit each packet to, 可 限制 对 每 个 包 捕 获 多 少 字 节 ,因为 通常 关心 的 信息 主 
要 都 含 在 包 的 头 部 中 。 如 果 包 长 度 大 于 此 字 节 数 , 则 将 数据 包 的 后 部 抛弃 。 
Wireshark 把 那些 因 截断 而 无 法 进行 协议 解析 的 数据 包 标注 为 碎片 (fragments) 。 
在 Capture Filter 文本 框 中 输入 过 滤 条 件 表达 式 , 也 可 以 单 击 Capture Filter 按钮 ， 
在 弹出 的 过 滤器 列表 中 直接 选取 。 这 样 就 只 捕获 满足 过 滤 条 件 的 数据 包 。 


@ Capture File(s) 栏 ,设置 捕获 数据 存储 为 文件 的 位 置 : 


在 File 文本 框 中 输入 全 路 径 文件 名 或 通过 单 击 Browse 浏览 文件 系统 , Wireshark 
能 把 当前 捕获 内 容 保存 到 该 文件 中 ; 若 文本 框 中 不 输入 任何 内 容 , 则 系统 默认 将 捕 
获 内 容 存 于 临时 文件 中 , 稍 后 再 用 File 的 Save As 进行 保存 。 

选择 Use multiple files 复 选 框 , 如 果 符 合 存储 多 个 文件 的 条 件 , Wireshark 会 自动 切 
换 到 一 个 新 文件 ,对 新 到 来 的 数据 包 进 行 存 储 。 选 择 该 项 可 激活 Next file every n 
byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s)( 每 隔 n 字 节 / 千 字 节 / 兆 字 节 / 吉 字 
节 ) 切 换 至 下 一 文件 ,n 值 由 下 拉 菜 单 确定 。Next file every n second(s)/minute(s)/ 
hour(s)/day(s) (每 隔 nn 秒 /分 钟 /小 时 /天 ) 切 换 至 下 一 文件 ,n 值 由 下 拉 菜 单 确定 。 
Ring buffer with n files 以 给 定 的 个 文件 构成 环形 缓冲 器 中 的 捕获 文件 。Stop 
capture after n file(s) 捕 获 了 nn 个 文件 后 ,就 停止 捕获 。 

Ring buffer 是 环形 缓存 器 , 当 捕获 文件 填 满 缓存 器 时 ,就 会 返回 到 开始 位 置 记录 新 到 
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来 的 捕获 文件 , 原 有 文件 数据 将 从 缓冲 区 中 删除 。 在 Capture Ring buffer 中 至 少 会 生成 

2 个 捕获 文件 ,其 文件 名 格式 是 : 前 级 _NNNNN_ YYYY MM DD hh mm ss. 后 级 。 

例如 ,文件 名 xiaolu_00004_20070119003957. cap, 其 中 文件 xiaolu 是 Ring buffer 中 的 
第 4 个 捕获 文件 ,该 文件 的 创建 时 间 是 2007 年 1 月 19 日 0:39:57。 注 意 : 若 给 定 4 个 缓冲 
区 文件 ,那么 当 第 5 个 文件 (编号 00005) 到 来 时 ,编号 为 00001 的 文件 将 被 删除 。 

@ Stop Capture… 栏 ,设置 自动 停止 捕获 的 条 件 , 也 可 以 手动 停止 捕获 : 

。 选择 …after n packet(s) 复 选 框 , 当 捕 获 了 nn 个 数据 包 后 停止 捕获 。 

。 选择 …after n byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s) 复 选 框 ,捕获 了 数据 
包 的 指定 的 字 节 / 千 字 节 / 兆 字 节 / 吉 字 节 数 量 后 停止 捕获 。 若 已 选择 Use multiple 
files 复 选 框 , 则 该 选项 无 效 。 

。 选择 …after n second(s)/minute(s)/hour(s)/day(s) 复 选 框 ,捕获 了 指定 的 时 间 
( 秒 /分 钟 /小 时 /天 后 ,停止 捕获 。 

可 同时 选择 以 上 这 3 个 条 件 , 只 要 其 中 一 个 条 件 满足 ,捕获 即 告 结 

@ Display Options 栏 , 设 置 如 何 显示 捕获 的 数据 包 : 

。 默认 状态 下 , Wireshark 并 不 会 在 捕获 数据 的 同时 对 Summary Window 中 的 捕获 包 
列表 进行 实时 更 新 。 如 果 选 中 Update list of packets in real time 复 选 框 ， 
Wireshark 一 旦 捕获 到 数据 包 并 处 理 后 ,即刻 刷新 Summary Window 列表 。 

。 在 实时 捕获 时 ,新 捕获 到 的 数据 包 被 添加 在 Summary Window 的 末尾 ,不 会 自动 卷 
屏 ,除非 选择 Automatic scrolling in live capture 复 选 框 。 

。 选择 Hide capture info dialog 复 选 框 ,隐藏 捕获 信息 对 话 框 。 

@ Name Resolution 栏 , 若 捕获 包 中 数据 有 名 字 , 则 显示 为 名 字 。 前 面 已 经 介绍 过 。 

一 切 就 绪 后 , 单 击 图 7. 19 中 所 示 的 Start 按钮 ,开始 捕获 数据 ,此 时 已 经 捕获 的 各 类 协议 

包 会 实时 显示 在 主 界面 的 上 窗口 中 。 当 满足 上 述 停止 条 件 后 .或 单 击 Stop 按钮 就 停止 捕获 。 

(3) Capture Filters( 捕 获 过 滤器 ) 对 话 框 

单 击 主 界面 Capture>Capture Filters… 选 项 ,弹出 捕获 过 滤器 对 话 框 如 图 7. 20 所 示 。 


创建 新 的 捕获 过 滤器 


删除 已 有 捕获 过 滤器 


Non-HTTP and non-SMTP toffrom www.ethereal.com 加 
捕获 过 滤器 名 当当 


We 一 | 保存 新 的 捕获 过 滤器 


HTTP TCP port (80) 


tcp port http 


图 7.20 ”Capture Filters 对 话 框 
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Capture Filters 对 话 框 允 许 用 户 对 捕获 过 滤器 进行 管理 ,删除 或 创建 新 的 捕获 过 滤器 。 
如 果 在 菜单 中 没有 所 需 过 滤器 ,可 在 Filter name 中 输入 新 的 过 滤器 名 称 , 如 HTTP 
Traffic ,然后 在 Filter string 中 输入 捕获 过 滤 字 符 串 port 80 , 单 击 New 按钮 就 保存 了 。 也 
可 以 从 过 滤器 列表 中 选择 现 有 的 过 滤器 进行 修改 或 删除 ,一 切 就 绪 , 单 击 Save 按钮 ,这 些 过 
滤器 即 可 在 后 续 捕获 中 调用 。 

6) Analyze( 分 析 ) 菜 单 

图 7.11 主 界面 上 的 Analyze 菜单 的 选项 及 功能 ,如 表 7.9 所 示 。 利 用 这 些 分 析 工 具 可 
以 迅速 地 从 捕获 数据 中 提取 重要 信息 。 


表 7.9 主 界面 上 的 Analyze 菜单 及 功能 


菜单 选项 功 能 描 述 
Display Filters… 创建 和 编辑 显示 过 滤器 
Apply as Filter 让 当前 输入 的 显示 过 滤器 字段 立即 生效 
Prepare a Filter 对 当前 显示 过 滤器 做 出 修改 ,但 不 立即 使 之 生效 
Enabled Protocols… 选择 和 启用 各 种 协议 的 解析 器 
Decode As… 指定 将 某 个 包 作为 特殊 的 协议 进行 解析 
User Specified Decodes 用 户 指定 的 协议 解释 器 
Follow TCP Stream 将 分 散在 各 数据 段 中 传输 的 TCP 流 取 出 ,组 装 还 原 
Follow SSL Stream 跟踪 取出 SSL 流 的 传输 ,组 装 还 原 完 整 的 SSL 流 
Expert Info 对 捕获 文件 的 专家 信息 
Expert Info Composite 对 捕获 文件 的 专家 信息 的 合成 


(1) Display Filter( 显 示 过 滤器 ) 和 Filter Expression( 过 滤器 表达 式 ) 
图 7. 21 是 单 击 主 界面 Analyse-> Display Filters… 选项 后 弹出 的 Display Filter 对 


创建 新 的 显示 过 滤器 


Ehernet address 000815000815 

Ethemet ype 0x0806 (ARP) 

Emernet broadcast 

NoARP 本 

oa 备 选 显示 过 滤器 名 

IPaddress192168.01 

IP address snt192.168.0.1, dontuse 上 forthist 

IPX only 

TCP on | 

UDP onw i 

TcP orupP poriss0 QT| 弹出 构造 显示 过 滤 
， > 加 

表达 式 对 话 杠 - 


删除 已 有 显示 过 滤器 


显示 过 滤器 名 


保存 新 的 显示 过 滤器 


显示 过 小 表达 式 


图 7.21 Display Filter 对 话 框 


可 以 从 Display Filter 列表 中 选择 一 个 过 滤器 ,用 于 从 捕获 文件 中 过 滤 显 示 所 需要 的 数 
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据 包 ,使 用 十 分 方便 。 该 过 滤器 的 表达 式 显 示 在 Filter string 中 。 已 提供 的 这 些 过 滤器 列 
表 可 满足 大 多 数 的 应 用 。 

如 果 列 表 中 的 过 滤器 不 能 满足 需要 ,可 以 自己 创建 新 的 显示 过 滤器 。 首 先 在 Filter 
name 中 输入 新 过 滤器 的 名 称 , 如 HTTP Traffic Flow .然后 在 Filter string 中 输入 过 滤 表 达 
式 。 通 常 可 单 击 Expression ,在 弹出 的 Filter Expression 对 话 框 (图 7. 22) 中 进行 过 滤器 字 
符 串 的 构造 。 在 Field name( 类 型 名 称 ) 中 选择 需要 显示 的 协议 及 其 字段 ,在 Relation( 比 较 
运算 符 ) 中 选择 相应 的 运算 符 , 在 Value( 代 码 值 ) 中 输入 相应 参数 ,过 滤 表 达 式 即 构造 完成 。 
表达 式 tcp. dst port 王 一 80, 即 过 滤 出 TCP 协议 包 中 目的 端口 为 80 的 数据 包 。 


Field name Value (unsigned, 2 bytes) 

ja Tao 显 [so | 输入 值 ] 
国 T.38 显示 过 滤器 Predefined values: 

国 TACACS 名 (字段 ) 选择 


| 国 TACACS+ 


国 TAU 


TANGO 
国 TAPI 


Eh 一 
B TcP 比较 运算 
tep srcport- Source Port 符 选择 


tep.dstport- Destination Port 
tep.port- Source or Destination Port 
tcp.seq- Sequence number Range (onsetlength} 


a | a 位 操作 符 输入 


图 7.22 Filter Expression 对 话 框 


(2) 设置 为 Apply As Filter( 过 滤器 ) 和 Prepare a Filter( 设 计 过 滤器 ) 子 菜单 

主 界面 图 7.11 的 Analyze 菜单 中 的 Apply As Filter 和 Prepare a Filter 子 菜单 ,针对 
主 界面 中 部 的 Protocol Tree Window 的 各 字段 进行 显示 过 滤 。 两 个 子 菜单 功能 基本 相同 。 
前 者 直接 应 用 过 滤 条 件 表达 式 ,在 Summary Window 中 做 筛选 ;后 者 只 在 过 滤器 工具 栏 的 
下 拉 文 本 框 中 显示 过 滤 条 件 , 但 并 不 处 理 Summary Window 中 的 包 , 除 非 单 击 过 滤器 工具 
栏 的 Apply。 以 上 两 子 菜单 的 选项 及 实例 如 表 7. 10 所 示 。 过 滤器 的 应 用 案例 见 第 12. 2 节 
和 图 12. 5。 

表 7.10 Analyse 菜单 中 Apply As Filter 和 Prepare a Filter 选项 及 实例 
菜单 选项 显示 过 滤 字 符 串 实例 


Selected tcp. ack= =5411 


Not Selected 1 (tcp.ack==5411) 


And Selected (tep. seq==0) &&(ip. src==221. 232. 68. 236) 


Or Selected (tcp. seq= =0)||(ip. src 一 一 221. 232. 68. 236) 


And Not Selected (tcp. seq 一 一 0)&&I (ip. src 一 一 221. 232. 68. 236) 


Or Not Selected (tcp. seq 一 一 0)||! (ip. src 一 一 221. 232. 68. 236) 


。 234。 


(3) Enabled Protocols( 激 活 协议 解析 器 ) 对 话 框 

单 击 主 界面 Analyse 一 Enabled Protocols… 选 项 .弹出 对 话 框 如 图 7. 23 所 示 。 在 该 对 
话 框 允许 用 户 激活 或 取消 某 个 协议 的 解析 器 ,通过 Status 中 的 复 选 框 选择 。 也 可 通过 单 击 
Enable All、Disable All 和 Invert 按钮 来 全 部 激活 、 全 部 禁止 和 全 部 反 向 操作 。 完 成 后 单 击 
Save 按钮 退出 。 


Ethereal: Enabled Protocols 


~ Description 
ICBAPersist2 ICBAPersist2 
ICBARTAuto ICBARTAuto 
ICBARTAuto2 ICBARTAuto2 
ICBAState ICBAState 
ICBAStateEvent ICBAStateEvent 
ICBASysProp ICBASYstemProperies 
ICBATime ICBATime E 
ICEP Intemet Communications Engine 莉 
ICL_RPC DCEIRPC ICLRPC 
ICMP Intemet Control Message Protoco 
ICMPv6 Intemet Control Message Protoco 有 
ICP Intemet Cache Protocol 
Ica Ice Protocol 
IDispatch DCOMIDispatch 
IDP Intemetwork Datagram Protocol 
IEEE 802.11 IEEE 802.11 wireless LAN 
IEEE8023 IEEE8023 OUI Exended Etherype 


Disabling a protocol prevents higher layer protocols from belng dsplayed 


Enable All Disable All Invert 
ok appy Save 
图 7.23 分 析 Analyse 菜单 中 的 Enabled Protocols 对 话 框 
(4) 将 指定 地 址 数据 强制 解析 为 指定 协议 
单 击 主 界面 的 Analyse>Decode As… 选 项 ,弹出 Decode As 对 话 框 如 图 7. 24 所 示 。 
可 将 地 址 与 协议 绑 定 。 当 Wireshark 在 解析 数据 包 时 ,会 根据 包 中 “协议 字段 ”的 值 来 决定 
使 用 哪 种 解码 器 对 该 包 进行 解码 。Wireshark 允许 用 户 根 据 链 路 层 (Link 选项 卡 )、 网 络 层 


Ethereal: Decode As 


Network| Transport 


© Donotdetode |upr | source 0551) _ 图 


Show Current 


图 7.24 Decode As 对 话 框 的 Transport 选项 卡 
。235 。 


(Network 选项 卡 ) 或 传输 层 (Transport 选项 卡 ) 的 特征 字段 解码 。 最 典型 的 情况 涉及 TCP 
端口 号 , Wireshark 根据 它 做 出 决定 由 哪个 解析 器 来 翻译 TCP 数据 包 的 内 容 , 这 是 由 其 源 
端口 或 目的 端口 控制 的 。 也 可 以 在 一 个 非 标准 端口 上 运行 某 个 协议 ,例如 在 port 7000 上 
运行 HTTP 协议 。 

从 图 7. 24 的 协议 列表 中 选 定 要 强制 解码 的 协议 , 单 
击 Apply 按钮 即 可 对 当前 端口 号 按照 指定 的 协议 类 型 
强制 解码 。 单 击 Show Current 按钮 ,在 弹出 的 Decode 
As: Show 对 话 框 中 ,可 以 看 到 当前 被 强制 解析 协议 的 
概况 , 如 图 7. 25 所 示 。 也 可 单 击 Analyze 习 User 图 7.25 显示 当前 端口 对 应 的 协议 
Specified Decodes… 选 项 ,打开 这 个 对 话 框 。 

在 图 7.25 中 Decode As: Show 对 话 框 的 各 列 显示 了 强制 指定 的 解析 内 容 : Table 列 为 
当前 解码 所 依据 的 协议 类 型 ;Value 列 为 端口 值 ,本 例 中 是 TCP port 和 端口 号 179; Initial 
列 为 常规 情况 下 该 端口 对 应 的 协议 类 型 ;Current 列 为 强制 解析 后 的 协议 类 型 。 本 例 中 , 端 
口 179 在 正常 情况 下 是 BGP 协议 ,而 此 处 强制 解析 为 HTTP。 

(5) Follow TCP stream( 跟 踪 TCP 数据 流 ) 

在 已 捕获 的 数据 包 中 选中 了 一 个 TCP 会 话 进程 的 第 一 个 包 后 , 单 击 Analyse 一 Follow 
TCP Stream, 即 可 将 通信 双方 分 割 成 多 个 数据 段 传输 的 报 文 完整 地 组 装 还 原 。 组 装 还 原 的 
TCP 会 话 数据 流 如 图 7. 26 所 示 。 此 功能 可 以 非常 直观 地 读 出 TCP 通信 双方 所 交互 的 完 
整 信息 ,以 及 传输 的 网 页 内 容 等 。 


Ethereal: Decode As: Show[- |[D|(X| 
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a "93. 6: or 1: S67 8 


Pp/1.0 
erver: ee -Windows-NT/5.1 UPNP/1.0 UPnP-Device-Host/1.0 
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oon Version= “1.0"?> 
xm1ns="urn:schemas-upnp-org:device-1-0"> 
| <5| REcVer 守 ons _ 


Save as][Erint]| Entre conversation (4012 bytes) 图 @ ascnO EBcoc DO HexDump O Carays O Raw 


图 7. 26 ”Follow TCP stream 对 话 框 


图 7. 26 显示 的 是 一 个 HTTP 客户 机 访问 Web 服务 器 时 ,双方 所 交互 的 信息 。 在 默认 
情况 下 ,客户 机 发 送 的 报 文 内 容 呈 红色 字体 ,服务 器 响应 的 报 文 呈 蓝 色 字体 , 即 用 不 同 颜色 
标识 客户 /服务 器 会 话 中 的 TCP 流 方向 。 可 以 通过 选择 下 拉 选 项 中 的 Entire conversation 
或 两 个 单方 向 数据 流 来 控制 内 容 显 示 。 如 Entire conversation(4012 bytes)[ 混 合 色 ]、 
192. 168. 0. 101:2054->192. 168. 0. 1:5678 (427 bytes)[ 红 色 ] 和 192. 168. 0. 1:5678 一 
192. 168. 0. 101:2054 (3585 bytes)[ 蓝 色 ]。 

» Za6 = 


在 图 7. 26 中 的 第 1 段 是 HTTP 客户 机 向 Web 服务 器 发 出 的 GET 请 求 获取 URL 指 
定 的 网 页 ,第 2 段 是 HTTP 服务 器 对 客户 机 返回 的 响应 ,第 3 段 是 服务 器 返回 给 客户 机 的 
XML 格式 的 Web 页 面 内 容 。 在 第 6. 3 节 介绍 了 用 TCP 协议 传输 的 HTTP 客户 机 /服务 
器 之 间 的 相互 通信 过 程 和 实际 数据 案例 。 

单 击 Save As 按钮 可 将 跟踪 捕获 到 的 TCP 流 的 内 容 另 存 为 一 个 完整 的 文本 文件 。 单 
击 Print 按钮 启动 对 话 框 。 单 击 Filter out this stream 按钮 关闭 Follow TCP Stream 对 话 
框 ,并 在 Summary Window 中 不 再 显示 与 该 TCP 数据 流 相 关 的 包 。 

可 以 选择 TCP 流 的 编译 码 形式 。 有 ASCII 编码 .EBCDIC 编码 .Hex Dump( 十 六 进 
制 ) 编 码 .C Arrays(C 语言 数组 ) 格 式 , 以 及 Raw( 原 始 数据 ) 格 式 。 

还 可 在 捕获 文件 中 选择 “跟踪 数据 流 " 和 “追踪 安全 套 接 字 层 数据 流 ”。 安 全 套 接 字 层 
(Secure Socket Layer，SSL) 是 一 套 提供 身份 验证 \ 保 密 性 和 数据 完整 性 的 信息 安全 技术 ,常用 
来 在 浏览 器 和 服务 器 之 间 建 立 安全 通信 。 详 见 第 11. 2 节 传 输 层 安 全 协议 SSL/TLS 的 介绍 。 

(6) Expert Info( 专 家 信息 ) 和 Expert Info Composite( 专 家 信息 合成 ) 

单 击 主 界面 Analyse 习 Expert Info 选项 后 弹出 Expert Info 对 话 框 ,如 图 7. 27 所 示 。 
针对 可 疑 的 或 特殊 的 数据 包 进 行 显示 和 统计 ,主要 分 为 错误 (Errors) 警告 (Warnings) 、 注 
意 (Notes) 和 对 话 (Chats)4 个 级 别 。Expert Info Composite 对 话 框 用 于 分 门 别 类 地 统计 各 
可 疑 数据 包 的 作用 ,这 里 不 再 袭 述 。 


Ethereal: 60 Expert Infos 加 回回 


Errors: 0 Warnings: 9 Notes: 39 Chats: 12 Severity flter 


Group Protocol Summary 


Sequence TCP Duplicate ACK (#1) to ACK in packet#22 
Sequence TCP Fastretransmission (suspected) 


Sequence TCP Duplicate ACK (#2) to ACK in packet#22 


图 7.27 Expert Infos 对 话 框 


7) Statistics( 统 计 ) 菜 单 
主 界 面 的 Statistics 菜单 选项 及 功能 如 表 7. 11 所 示 , 这 些 功能 对 网 络 用 户 数据 流 的 宏 
观 监测 ,以 及 对 异常 主机 的 追踪 定位 等 十 分 有 用 。 以 下 对 重点 选项 详细 介绍 。 


表 7.11 Statistics 的 菜单 选项 及 功能 
菜单 选项 


Summary 


功能 描述 
统计 捕获 文件 的 综合 信息 
按 树 形 分 层 协议 等 级 ,统计 各 层 协议 信息 
统计 该 捕获 文件 中 包含 的 各 源 端 和 目的 端 之 间 的 会 话 信息 
统计 该 捕获 文件 中 各 源 端 和 目的 端 单方 数据 包 信息 


Protocol Hierarchy 


Conversations 


Endpoints 
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菜单 选项 功 能 描 述 


IO Graphs 显示 该 捕获 文件 中 各 种 通信 流量 变化 的 二 维 曲 线 图 
Conversation List 统计 每 种 协议 的 源 端 和 日 的 端 之 间 的 双方 通信 信息 
Endpoint List 统计 每 个 主机 使 用 某 协议 通信 的 单方 数据 包 信 息 
Service Response Time 统计 该 网 络 中 每 种 协议 的 请 求 及 其 响应 时 间 


统计 该 捕获 文件 中 包含 的 以 下 协议 的 详细 信息 : 
ANSI .Fax T38 Analysis*… .GSM. H. 225…\、MTP3、RTP、SCTP、SIP… 、VoIP Calls…、WAP-WSP… 
BOOTP-DHCP HTTP ISUP Messages 和 ONC-RPC Programs 


Destinations… 按 日 的 地 址 进行 统计 

Flow Graph… 以 流程 图 方式 显示 各 主机 之 间 的 通信 过 程 和 内 容 概 要 
IP Address 按 IP 地 址 站 点 进行 统计 

Packet Length… 包 长 度 信息 统计 


Port Type… 按 端口 类 型 进行 统计 


TCP Stream Graph 绘制 TCP 数据 流 的 二 维 图 像 


(1) Summary 

图 7. 28 是 单 击 Statistics~>Summary 后 的 统计 概况 , 它 给 出 : File( 捕 获 文件 的 属性 )、 
Time( 捕 获 的 时 间 ) .Capture( 捕 获 接口 设置 )、Display( 显 示 方 式 设置 ), 该 捕获 文件 的 详细 
信息 等 几 项 内 容 ,如 表 7.12 所 示 。 


Ethereal: Sumaary 


File 
Name- CADOCUME~1ANGEL_~1\LOCALS~1iTemp\ethero00JCCIMT 
Length: 849992 bytes 
Format libpcap (tcpdump, Ethereal, etc) 
Packet size limit 65535 bytes 
Time 
First packet 2007-01-25 21:45:45 
Last packet 2007-01-25 21:46:16 
Elapsed: 00:00:30 
Capture 
Interface: Generlc dialup adapter 
Dropped packets: 0 
Capture 人 ter none 
Display 
Displayfiter none 
Marked packets: 0 


Traffic Captured | Displayed 
‘ Between frst and last packet 30.794 sec 

Packets 1192 

Avg. packets/sec 38708 

Avg. packet size 697.000 bytes 

Bytes 830896 

Avg. bytesisec 26982.154 

Avg. MBitisec 0216 


Close 


图 7.28 统计 显示 一 个 捕获 文件 的 概况 
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表 7.12 捕获 文件 的 详细 信息 


详细 信息 说 明 

Between first and last packet 捕获 文件 中 第 1 个 到 最 后 1 个 包 的 时 间 , 单 位 为 秒 
tes 在 指定 的 时 间 段 内 共 捕获 的 数据 包 个 数 

Avg. packets/sec 平均 每 秒 捕获 的 数据 包 个 数 

二 捕获 数据 包 的 平均 大 小 

Bytes 捕获 文件 的 总 字 节 数 

jg bie 平均 每 秒 捕获 的 字 节 数 

Avg. MBit/sec 平均 每 秒 捕获 兆 位 数 


(2) Protocol Hierarchy 

单 击 Staticses 阅 Protocol Hierarchy 选项 后 弹出 Protocol Hierarchy Statistics 对 话 框 ， 
如 图 7. 29 所 示 。 按 Protocol Hierarchy 得 到 的 结果 为 : 捕获 Ethernet 数据 帧 1192 个 , 百 分 
比 100%% ,总 长 830896B, 数 据 传输 率 0. 216Mbps。 其 中 ,使 用 IP 协议 的 包 占 99. 83%( 即 
TCP 协议 包 占 81. 04% ,UDP 协议 包 占 18. 46% ,ICMP 协议 包 占 0. 34%); 使 用 PPP 协议 
的 占 0.17%。 


Ethereal: Protocol Hierarchy Statistics 回回 加 | 


%pPackets Packets Bytes ”Mblts End Packets End Bytes End Mbitie 
100.00% 

Ethernet 100.00% 。 1192 830896 0 

Internet Protocol 99.83% 。 1190 830852 0 
日 Transmission Control Protocol 81.04% 966 807717 926 766535 
加 HypertextTransfer Protocol 277% 33 40175 37667 
Media Type 0.08% 1 355 355 
Line-based text data 0.25% 3 2153 1625 
加 eDonkey Protocol 0.59% 7 1007 494 
eDonkey Protocol 025% 3 513 513 
加 User Datagram Protocol 18.46% 220 22750 0 
Data 10.99% 131 12763 12763 
eDonkey Protocol 621% 74 7961 7961 
Domain Name Service 1.01% 12 1711 1711 
Cisco Hot Standby Router Protocol 025% 3 315 315 
Internet Control Message Protocol 034% 4 385 385 
PPP Link Control Protocol 0417% 2 44 44 


图 7.29 按 协议 分 层次 统计 捕获 文件 内 含 的 信息 


(3) Conversations 
图 7. 30 是 单 击 Statistics->Conversations 选项 后 弹出 的 对 网 络 通信 双方 会 话 信 息 的 统 
计 。 对 话 框 中 选项 卡 的 解释 如 下 : MAC 地 址 为 01:00:01:00:00:00 与 14:1c:20:00:01:00 
的 两 台 主 机 会 话 ,产生 了 700 个 包 , 共 593 339B, 其 中 444 个 包 ( 共 578 451B) 是 从 A 主机 传 
到 B 主 机 ,256 个 包 ( 共 14888B) 是 从 B 主 机 传 到 A 主机 。 单 击 Endpoints 可 分 别 显示 源 端 
和 目的 端的 单方 数据 包 统计 信息 。 
.239 。 


ns: (Untitled) 


Ethemet Conversations 


AddressA | AddressB Packets . Bytes PacketsA>6 ByesA>B PacketsA<B | ByesA<-B 
01:00:01:00:00:00 14:1c20.00.01:00 700 593339 444 578451 256 14888 


Copy 


回 Name resolution 


图 7.30 通信 双方 的 会 话 数 据 量 统计 


(4) IO Graphs 

图 7.31 是 单 击 Statistics>IO Graphs 后 弹出 的 输入 输出 数据 流 统计 曲线 随时 间 的 变化 状 
态 。 其 中 Graphs 栏 设置 : Color( 每 条 过 滤 包 统计 曲线 的 颜色 )、Filter( 每 条 曲线 的 过 滤器 )、 
Style( 曲 线 类 型 )。 最 多 可 用 5 条 曲线 (Graphl、Graph2、…… ) 分 别 显示 各 过 滤器 滤 出 的 数据 包 
数量 随时 间 的 变化 。 每 条 曲线 的 类 型 可 选 为 : Line( 线 型 ) .Impulse( 脉 冲 型 ) 和 FBar( 直 方 图 ) 。 
在 二 维 坐 标 参数 中 ,X Axis 栏 选 择 : Tick interval( 采 样 时 间 间 隔 )(0. 001s、0. 01s、……) ,Pixers 
per tick( 每 个 采样 的 像素 点 数 ) (1.2、……);Y Axis 栏 选择 : Unit( 垂 直 刻 度 单 位 ) (Packets/ 
Tick 等 ) ,Scale( 最 大 垂直 幅度 )(Auto,10,20 等 )。 本 图 显示 了 捕获 文件 中 的 TCP 流 和 UDP 
流 两 条 曲线 随时 间 X 轴 的 变化 ,垂直 刻度 为 包 数 量 , 线 型 为 line。 


Ethereal I0 Graphs: (Untitled) 回回 园 


2 
| 


[Grapn 1] cotor : Tick interval 
Color [Einer | | Pielspertck |5 国 
| [Grapn 3 Eiter IY As 3 


| Graph 4] Color [Eitter: : Unit Packetsrrick 国 
Graph 5] Color ): scae |Avo 国 


图 7.31 网 络 数据 中 各 类 协议 包 流 量 随 时 间 的 变化 统计 曲线 


(5) Flow Graph 
图 7. 32 是 单 击 Statistics->Flow Graph… 选 项 后 弹出 的 网 络 主机 间 通 信 流 向 图 参数 设 
置 框 。 
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Ethereal: Flow Graph 


Choose packets 
加 部 packetl ©O Displayed packets 
Choose flowtype- 
© Generalfow OIcPfow 
Choose node address type- 
© standard source/destination addresses O Network source/destination addresses 


图 7.32 Flow Graph 对 话 框 


Choose packets( 选 择 数据 包 ): All packets( 所 有 包 ) 或 Displayed packets( 只 绘制 显示 
的 包 )。 

Choose flow type( 选 择 数据 流 类 型 ) : General flow( 普 通 数 据 流 ) 或 TCP flow(CTCP 数 
据 流 ) 。 

Choose node address type (选择 网 络 节点 地 址 类 型 ); Standard source/destination 
address( 标 准 源 /目的 IP 和 MAC 地址) 或 Network source/destination address( 网 络 源 / 目 
的 IP 地 址 ) 。 

选择 完成 后 单 击 OK 按钮 , 即 统计 出 图 7. 33 所 示 的 Graph Analysis( 通 信 流 向 分 析 结 
果 ) 图 。 从 中 可 以 直观 地 看 到 各 网 络 用 户 的 通信 数据 流向 ,追踪 网 络 主机 的 网 络 活动 。 每 一 
条 纵 线 代表 一 台 主 机 ,各 主机 之 间 的 数据 传输 用 箭头 横 线 表示 。 以 每 个 包 捕 获 的 起 始 时 间 
为 基线 ,绘制 了 网 络 数据 包 的 流向 ,由 此 可 发 现 各 网 络 主机 之 间 的 通信 过 程 和 通信 概况 。 

例如 ,图 7. 33 中 第 一 个 时 间 点 : 一 个 TCP 数据 包 从 IP 地 址 为 124. 114. 169. 231 的 主 
机 (端口 9685) 发 送 至 222. 172. 170. 216 的 主机 (端口 7551) 。 


Graph Analysis 回回 轩 | 
国 | 
124.114.169.231 222172170.216 211.138.108.170 61.183.89.218 58.50.95191 Comment 目 
TOP: 06867561 IACM Seq-0 Ac0 wind 
TCP: 9685 » 7651 IACM Seq=0 Zck=1440 win 
TCP: 244 » 7551 [ACK Seqr0 Ahco Wne173 
TCP: [TCP Dup ACK 3#1] 2446 > 7551 [ACN 5 
TCP: [TCP segment of a reassembled PDU) 
TCP: 50864 » 7551 [ACK] Seqr0 pck=0 wn0d 
TCP: 10700 > 1173 [ACK] Seq=0 Ack=0 Win=79 
TCP: [TCP segment of 3 reassembled PDU] 
TCP: [TCP segment of 3 reassembled PDU] 
TCP 9085 » 7551 [ACK] Seqr0 pck=5194 Wn 
TCP: [TCP segment of a reassembled PDU] 
TCP: (TCP segment of a reassembled PDU] 
TCP: [TCP segment of 3 reassembled PDU] 
TCP: [TCP segment of a reassembled PDU] 
TCP: [TCP segment of a reassembled PDU] 
TCP: [TCP segment of 3 reassembled PDU] 
TCP: [TCP segment of a reassembled PDU] 
国力 


图 7.33 网 络 主机 之 间 的 通信 流向 统计 分 析 图 


(6) TCP Stream Graph 
单 击 Statistics-TCP Stream Graph 选项 ,得 到 TCP 数据 曲线 的 菜单 选项 及 功能 设置 
» 2Z41 % 


( 见 表 7. 13) ,这 些 曲 线 直观 地 显示 出 TCP 通信 的 延 时 、 丢 包 、 知 吐 量 等 网 络 状况 。 
表 7.13 Statistics 菜单 中 的 TCP Stream Graph 选项 及 功能 


菜单 选项 功能 描述 
Round Trip Time Graph 往返 行程 时 间 曲 线 
Throughput Graph 吞吐 量变 化 曲线 


Stevens 时 间 - 序 列 号 变化 曲线 
tcptrace 时 间 - 序 列 号 变化 曲线 


Time-Sequence Graph(Stevens) 


Time-Sequence Graph(tcptrace) 


@ Stevens 时 间 - 包 序列 号 曲线 : 该 曲线 由 网 络 专 家 W. Richard Stevens 提出 。 曲 线 描 
述 了 Summary Window 中 TCP 数据 包 序 列 号 随时 间 的 传输 统计 。TCP 流 的 第 1 个 数据 段 
序列 号 是 一 个 随机 数 , 后 续 序列 号 以 此 累加 。 参 看 第 5. 3. 2 节 的 介绍 。 

该 曲线 引出 了 TCP 流 知 吐 量 的 概念 ,在 理想 状态 下 ,可 以 获得 持续 的 TCP 吞吐 量 , 曲 
线 呈 直线 上 升 ,斜率 等 于 TCP 吞吐 量 。 遗 憾 的 是 ,实际 中 很 少 出 现 这 种 理想 情况 , 如 
图 7.34 中 出 现 的 吞吐 量 问题 。 起 先 (0. 3s 之 后 ) 流 量 呈 现 非 常 好 的 斜率 ,这 意味 着 吞吐 量 
是 持续 的 ,在 3 一 3. 5s 期 间 , 曲 线 出 现 了 中 断 , 表 明 该 段 时 间 内 正在 重 发 数据 包 。 参 看 
图 5.15 中 TCP 的 重 传 举例 。 
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图 7.34 统计 菜单 中 TCP 数据 流 的 Stevens 时 间 - 序 列 号 曲线 


@ tcptrace 时 间 - 包 序列 号 曲线 : 与 Stevens 时 间 - 序 列 号 曲线 相 比 ,该 曲线 可 以 表达 更 
多 的 信息 ,如 图 7. 35 所 示 。 若 要 放大 局 部 曲线 ,可 按 下 Ctrl 十 鼠标 右键 ,出 现 放 大 窗口 , 移 
动 到 需要 放大 的 位 置 即 可 。 还 可 通过 单 击 来 快速 放大 图 像 。 放 大 后 需要 移动 图 像 以 便 观察 
则 使 用 鼠标 右键 拖 忠 ,要 缩小 放大 图 像 使 用 Shift 十 鼠标 左 键 。 图 7. 35 中 黑色 曲线 旁边 的 
浅 色 虚线 是 TCP 流量 控制 中 滑动 窗口 字 节 号 的 位 置 , 见 图 5. 12 说 明 。 图 7. 36 是 对 
图 7.35 中 大 约 2.8 一 3. 05s 期 间 内 的 曲线 状态 放大 后 的 分 析 图 。 

在 图 7. 36 中 标注 了 最 近 一 个 TCP ACK Received (TCP ACK 的 序列 号 )、TCP 
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图 7.35 统计 菜单 中 TCP 数据 流 的 tcptrace 时 间 - 序 列 号 曲线 和 滑动 窗 演示 
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图 7.36 对 图 7.35 中 TCP 数据 流 曲 线 不 连续 部 分 的 放大 分 析 图 


Window(TCP 窗口 ),TCP 窗口 由 最 近 一 个 观察 到 的 TCP ACK 序列 号 加 上 最 后 可 见 的 
TCP 窗口 大 小 构成 。 图 中 靠近 时 间 轴 的 虚线 段 表 示 Duplicate ACK( 重 复 的 ACK 包 , 表 明 
产生 了 数据 包 的 丢失 ) ,类 “I” 型 表示 Segment Transmitted( 已 传输 的 数据 段 )。 请 参看 第 
5.3.7 节 图 5. 14。 

解释 图 7.36 中 出 现 的 奇异 数据 ,可 以 参看 图 7. 37。 这 是 接收 方 收 到 的 TCP 数据 流 。 
可 看 出 早先 接收 方 丢失 了 两 个 数据 段 1 号 和 2 号 。 但 接收 方 仍 重 复发 送 最 后 一 个 收 到 的 连 
续 数 据 段 的 ACK 确认 号 ,并 且 继 续 接收 以 后 到 来 的 各 数据 段 ,直到 整个 TCP 窗口 被 填 满 。 
在 这 一 期 间 , 另 外 两 个 数据 段 3 号 和 4 号 又 发 生 了 丢失 。 最 终 , 收 到 了 重 传 过 来 的 2 号 、 
3 号 和 4 号 数据 段 .但 是 1 号 数据 段 还 未 到 达 接 收 方 ,所 以 接收 方 就 不 停 地 发 送 相同 的 1 号 
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数据 段 的 ACK 信息 。 这 就 是 TCP 对 丢失 数据 段 选择 重 传 的 过 程 ,参看 图 5. 15 。 
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图 7.37 网 络 TCP 数据 流 中 选择 重 传 的 奇异 数据 诊断 


@ Throughput Graph( 网 络 TCP 吞吐 量 随时 间 变 化 统计 图 ), 如 图 7. 38 所 示 , 在 图 中 
TCP 数据 段 传输 中 的 网 络 知 吐 量 在 数据 段 丢 失 和 重 传 期 间 明显 下 降 。 
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图 7.38 网 络 吞吐 量 随时 间 变 化 统计 图 


@ Round Trip Time GraphCTCP 数据 段 往 返 时 间 变 化 统计 图 ) ,如 图 7.39 所 示 。 往 返 
时 间 是 指 当 发 送 方 发 出 1 个 TCP 同步 序列 标志 SYN 的 数据 段 后 , 收 到 返回 的 相应 确认 标 
志 ACK 数据 段 之 间 所 需要 的 平均 时 间 ( 以 秒 计算 )。 在 本 例 中 序号 1000 000 附近 的 数据 段 
的 往返 时 间 明 显 增 大 ,这 与 Time-Sequence 曲线 (图 7.36) 的 中 断 部 位 相 吻 合 。 


(7) Graph Control 


在 单 击 Statistics 一 TCP Stream Graph 选项 的 任何 一 个 下 级 子 菜单 弹出 曲线 图 的 同 
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图 7.39 网络 通信 TCP 数据 段 的 往返 时 间 变 化 统计 图 


时 ,也 会 伴随 弹出 Graph Control( 图 表 控 制 ) 对 话 框 。 

首先 出 现 的 是 Zoom( 缩 放 ) 选 项 卡 ,如 图 7. 40 所 示 。Horizontal( 水 平 ) 和 Vertical( 垂 
直 ) 框 内 显示 当前 图 像 的 缩放 因子 。Keep them the same 复 选 框 保证 图 像 水 平 缩放 的 同时 ， 
垂直 方向 也 相应 缩放 ,反之 亦 然 。Preserve their ratio 复 选 框 保证 图 像 按 比例 进行 缩放 。 
Zoom lock( 缩 放 锁 定 ) 可 以 锁定 水 平 或 垂直 方向 的 比例 不 变 。 

第 2 个 是 Magnify( 放 大 ) 选 项 卡 ,如 图 7.41 所 示 。Width、Height 框 设 置 放大 镜 窗口 
(CCtrl 十 鼠标 右键 ) 的 宽 高 。X 和 YY 框 设置 以 鼠标 位 置 为 参照 的 放大 镜 窗口 的 偏 移 。 
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图 7.40 Zoom 选项 卡 图 7.41 Magnify 选项 卡 


DD Keep them the same 
OD Preserve their ratio 


第 3 个 是 Origin( 原 点 ) 选 项 卡 ,如 图 7. 42 所 示 。 可 设置 曲线 的 原点 。Time origin( 时 
间 原 点 ) 部 分 可 选择 时 间 零 点 。beginning of this TCP connection 单 选 按钮 把 TCP 连接 的 
起 始 处 作为 曲线 的 时 间 零 点 :beginning of capture 单 选 按钮 则 把 捕获 的 起 始 处 作为 零点 。 
Sequence number origin( 序 号 原点 ) 部 分 可 选择 是 否 将 绝对 TCP 序号 或 者 相对 TCP 序号 


(由 绝对 TCP 序号 减 去 初始 TCP 序号 得 到 ) 绘 制 于 曲线 上 。 通 常 使 用 相对 TCP 序号 ,能 描 
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绘 大 致 传输 了 多 少数 据 。 选 择 initial sequence number 单 选 按钮 ,使 用 相对 TCP 序号 ;选择 
0( 王 absolute) 单 选 按钮 使 用 绝对 TCP 序号 。 

第 4 个 是 Cross( 十 字 交 叉 线 ) 选 项 卡 ,选择 Off 单 选 按钮 ,鼠标 指针 上 不 出 现 十 字 交 又 
线 ,选择 In 单 选 按钮 则 出 现 。 第 5 个 是 Graph type( 曲 线 类 型 ) 选 项 卡 , 如 图 7. 43 所 示 。 
4 种 类 型 分 别 显示 4 种 曲线 图 像 。Init on change 复 选项 用 来 控制 当选 择 一 种 新 的 曲线 类 
型 时 ,所 有 缩放 功能 将 被 重 置 为 初始 值 。 
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Help 
图 7.42 Origin 选项 卡 图 7. 43 Graph type 选项 卡 
8) Help( 帮 助 ) 菜 单 
主 界面 图 7.11 上 的 Help 菜单 的 选项 及 功能 ,如 表 7.14 所 示 。 
表 7.14 Help 菜单 选项 及 功能 


详细 信息 功 能 描 述 
单 击 进入 帮助 对 话 框 ,提供 了 有 关 Wireshark 概述 (Overview) .启动 (Getting 
Contents started)、 捕获 (Capturing)、 捕获 过 滤器 (Capture Filters)、 显示 过 滤器 


(Display Filters) 的 帮助 信息 ,及 常见 问题 (FAQs) 
Supported Protocols 显示 Wireshark 支持 协议 的 列表 和 各 协议 的 显示 过 滤 字 段 列 表 


Manual Pages 启动 存 于 本 地 安装 路 径 下 Wireshark 手册 的 HTML 页 面 
Wireshark Online 启动 Web 浏览 器 ,显示 http://www. Wireshark. com 中 的 网 页 信息 

介绍 Wireshark 的 Wireshark( 版 本 信息 )、Authors( 设 计 者 信息 )、Folders( 使 
About Wireshark 


用 过 的 文件 夹 信息 ) 和 Plugins (插件 信息 ) 


重要 提示 : 将 光标 放 在 Wireshark 主 界面 的 不 同窗 口 , 右 击 ,将 弹出 菜单 可 直接 调用 前 
面 描述 的 各 种 功能 ,使 数据 分 析 十 分 方便 快捷 。 功 能 参见 以 上 各 节 ,这 里 不 再 赣 述 。 

3，Wireshark 网 络 数据 捕获 分 析 案例 

本 节 给 出 一 个 利用 Wireshark 进行 网 络 数据 捕获 的 简单 操作 案例 ,可 照 此 进行 初始 的 
人 门 学习 。 

步骤 1: Wireshark 启动 后 , 单 击 图 7.11 中 的 Capture 菜单 选中 Interfaces… 选 项 ,弹出 
图 7. 18 所 示 的 Capture Interfaces 对 话 框 。 选 中 需要 捕获 的 网 络 接口 ,可 直接 单 击 Capture 
按钮 开始 捕获 。Description 列 出 了 主机 的 各 个 网 络 接口 清单 。 值 得 注意 的 是 Wireshark 并 
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不 能 保证 检测 到 所 有 本 机 网 络 接口 。Wireshark 将 从 这 些 接口 中 解析 出 接口 的 IP 地 址 ,如 
果 不 能 解析 (假如 无 本 机 的 固定 IP 设置 .网 络 中 也 无 DHCP 服务 器 ) ,将 在 相应 接口 的 
IP 部 分 显示 unknown。 若 解析 出 的 IP 地 址 不 止 一 个 , 则 只 显示 第 一 个 。 

步骤 2: 使 用 捕获 过 滤器 来 捕获 感 兴趣 的 数据 包 。 直 接 单 击 Capture Interfaces 对 话 框 
中 的 Prepare 按钮 ,在 弹出 的 捕获 选项 Capture Options( 也 可 以 直接 通过 Capture 菜单 中 的 
Options… 选 项 打开 ) 对 话 框 中 设置 捕获 过 滤器 。 有 两 种 方法 : 第 一 种 在 Capture Filter 文 
本 框 中 按照 上 文 介绍 的 捕获 过 滤器 的 书写 规则 输入 条 件 表达 式 , 捕 获 满足 条 件 的 包 ; 第 二 种 
单 击 Capture Filter 按钮 ,在 弹出 的 Capture Filter 过 滤器 清单 ( 见 图 7. 20) 中 选择 过 滤器 
名 ,相应 的 表达 式 会 出 现在 Filter string 文本 框 中 。 本 例 中 要 捕获 含有 HTTP 端口 的 TCP 
数据 包 , 则 Filter name 为 HTTP TCP port (80) ,Filter string 为 tcp port http。 单 击 OK 
按钮 后 返回 捕获 选项 ,其 他 各 项 准备 好 , 则 单 击 Start 按钮 ,开始 捕获 HTTP 数据 包 。 

步骤 3: 单 击 Stop 按钮 停止 捕获 后 , Wireshark 自动 载 人 已 经 捕获 的 按时 间 顺 序 排列 
的 数据 包 , 如 图 7. 11 所 示 。 接 下 来 使 用 显示 过 滤器 显示 目的 端口 为 HTTP(80) 的 数据 包 。 
打开 显示 过 滤器 的 常规 方法 是 : 单 击 Analyze 习 Display Filters… 选 项 ,弹出 Display Filter 
对 话 框 。 快 捷 方法 是 使 用 主 界面 中 的 显示 过 滤器 快捷 面板 ,如 图 7. 44 所 示 。 
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图 7.44 显示 过 滤器 快捷 面板 


有 两 种 方法 构造 显示 过 滤 表 达 式 ,第 一 种 在 Filter 文本 框 中 按照 上 文 介绍 的 显示 过 滤 
器 的 书写 规则 输入 条 件 表达 式 , 显 示 满 足 条 件 的 包 ; 第 二 种 单 击 Filter 按钮 ,在 弹出 的 
Display Filter 对 话 框 中 ( 见 图 7. 20) 选 择 备 选 过 滤器 名 ,相应 的 表达 式 会 出 现在 Filter 
string 文本 框 中 。 也 可 以 单 击 Expression… 按 钮 ,在 弹出 的 Filter Expression 对 话 框 中 设 
置 显 示 过 滤 表 达 式 ( 见 图 7.21)。 在 Field name 文本 框 中 选择 需要 显示 的 协议 及 其 字段 , 比 
较 运算 符 中 选择 相应 的 运算 符 ,Value 中 输入 相应 参数 ,过 滤 表 达 式 构造 完成 。 本 例 的 表达 
式 为 tcp. dstport 一 一 80, 单 击 OK 按钮 返回 Display Filter 对 话 框 。 单 击 Apply 按钮 将 列 出 
目的 端口 为 HTTP(80) 的 包 。 如 果 要 保存 该 表达 式 , 在 Filter name 文本 框 中 输入 名 称 单 击 
New 和 Save 按钮 即 可 。 

步骤 4: @ 以 文本 文件 形式 输出 捕获 文件 。 有 些 情 况 下 ,需要 将 已 捕获 的 数据 输出 为 
文本 文件 ,以 便 进 行 后 期 分 析 研 究 ,或 给 出 书面 报告 ,就 要 利用 此 功能 。 

单 击 File>Print… 选 项 后 ,弹出 Print( 打 印 ) 对 话 框 ( 图 7.45)。 在 Output to file 文本 
框 中 输入 保存 的 全 路 径 文件 名 : C:\example. txt, 即 可 将 捕获 的 文件 保存 为 纯 文本 文件 
格式 。 

@ 保存 捕获 的 数据 文件 ,以 供 后 期 研究 。 数 据 包 的 默认 保存 格式 为 *. pcap, 单 击 
File-~>Save 选项 后 ,弹出 保存 Save file as 对 话 框 。 

步骤 5( 可 选 ): 绘制 二 维 的 数据 包 通 信 曲 线 图 能 够 直观 地 反映 出 各 种 包 在 捕获 时 间 内 
的 流量 大 小 。 单 击 Statistics~>IO Graphs 选项 后 ,在 弹出 的 IO Graphs 对 话 框 中 进行 设置 
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Printer | 输出 Summary 
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图 7.45 将 Wireshark 的 数据 捕获 文件 打印 输出 为 纯 文本 文件 


和 分 析 ( 图 7. 46)。 对 话 框 的 Graphs 部 分 设置 图 像 的 Style (显示 风格 ), 以 及 Graphl、 
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图 像 曲线 1~5 


图 7.46 捕获 数据 流 的 二 维 统计 曲线 图 


7.3 本 全 小 结 


通过 命令 提示 符 界面 可 输入 网 络 测试 指令 。Ping 命令 用 来 在 线 测试 网 络 的 连通 性 , 它 

的 运行 依赖 于 两 个 特定 的 ICMP 消息 : ECHO_REQUEST 和 ECHO_REPLY。Ping 有 

10 种 常见 使 用 方法 。 也 可 以 Ping 自己 主机 的 IP 地 址 和 回 传 地 址 ,判断 本 机 是 否 能 发 送 和 
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接收 信息 。 生 存 期 指定 了 IP 包 在 网 络 中 可 经 过 的 最 大 网 段 数 。 

Traceroute 工具 可 以 探测 出 从 本 地 主机 到 远程 主机 所 经 过 的 网 络 路 径 上 每 个 路 由 器 的 
IP 地 址 ,以 及 网 络 路 径 上 的 每 一 网 段 的 联通 性 能 。 微 软 的 Tracert 和 Unix 的 traceroute 命 
令 之 间 的 不 同 点 在 于 前 者 使 用 ICMP 数据 包 , 而 后 者 则 使 用 UDP 数据 包 。Tracert 有 5 种 
常见 使 用 方法 。 

Netstat 用 于 查询 主机 的 TCP/IP 网 络 状态 ,有 10 种 常见 使 用 方法 。ARP 将 网 络 IP 
地 址 映射 为 MAC 地 址 ,有 3 种 常见 使 用 方法 。IPConfig 工具 可 以 用 来 显示 本 机 的 TCP/IP 
配置 信息 ,有 10 种 常见 使 用 方法 。Net 命令 在 网 络 安全 领域 通常 用 来 查看 本 地 网 络 计算 机 
上 的 用 户 列表 (查看 是 否 被 黑客 在 本 机 设置 了 未 知 的 用 户 ) 添加 和 删除 用 户 .与 对 方 计算 机 
建立 联系 .启动 和 停止 网 络 服务 等 。 

数据 包 捕获 是 实时 地 收集 网 络 上 传输 的 数据 包 。 利 用 集线器 将 被 监测 端口 的 数据 流 分 
为 多 路 以 便 测试 。 在 不 影响 交换 机 正常 工作 的 情况 下 ,将 交换 机 的 一 个 端口 的 数据 流 复制 
发 送 到 另 一 个 指定 端口 ,这 叫 端口 镜像 ,用 交换 机 端口 镜像 实现 接 人 监测 点 的 部 署 。 要 进行 
数据 包 捕获 先 将 网 络 接口 卡 设置 为 混杂 模式 。 

网 络 协议 分 析 软 件 Wireshark 提供 了 非常 丰富 的 网 络 数据 分 析 和 统计 功能 ,可 用 于 对 
网 络 原理 的 教学 实验 .网络 故 障 诊断 和 网 络 信息 安全 的 监测 。Capture Filters( 捕 获 过 滤器 ) 
只 捕获 那些 用 户 感 兴趣 的 包 ; Display Filters( 显 示 过 滤器 ) ,允许 用 户 指定 需要 显示 的 包 。 
任何 使 用 捕获 过 滤 规 则 书写 的 语法 规则 ,都 基于 tcpdump 语法 规则 的 。 


习题 与 实践 


1. 采用 一 台 联 网 的 计算 机 ,在 微软 Windows 的 “命令 提示 符 " 中 操作 本 章 的 所 有 命 
令 , 使 用 这 些 命令 及 其 各 种 参数 进行 简单 的 网 络 维护 测试 ,分 析 结 果 数 据 , 写 出 实验 
报告 。 
2. 拒绝 服务 攻击 (DoS) 是 利用 耗 尽 网 络 传输 资源 导致 Web 服务 器 不 能 正常 工作 。 请 
说 明 如 何 利 用 Ping 命令 来 对 Web 服务 器 实施 DoS, 即 “ping to death" 攻 击 。 
3. 请 描述 包 捕获 的 基本 原理 。 上 网 浏览 ,收集 还 有 哪些 网 络 测试 工具 ,它们 有 什么 应 
用 特点 ? 
4. 使 用 Wireshark 对 图 1. 15 中 的 每 个 协议 进行 网 络 数据 包 的 捕获 与 协议 数据 分 析 ， 
对 每 个 协议 做 一 个 专题 分 析 实验 ,分 别 写 出 实验 报告 。 
5. 使 用 网 络 流量 监控 工具 能 做 些 什 么 事情 ? 编写 一 个 过 滤器 ,确保 只 捕获 从 运行 跟踪 
程序 的 那 台 机 器 发 出 或 接收 到 的 通信 流量 。 
6. 通常 用 以 下 5 个 独立 的 要 素来 度量 网 络 性 能 ,分 别 解释 各 要 素 的 概念 。 
a. 可 用 性 b. 响应 时 间 c. 网 络 利 用 率 d. 网 络 吞 叶 量 
e. 网 络 带宽 容量 
7. 判断 题 。 
. 网 络 安全 应 具有 4 个 方面 的 特征 : 保密 性 、 完 整 性 、 可 用 性 、 可 查 性 。 
b. 最 小 特权 ,纵深 防御 是 网 络 安全 原则 之 一 。 
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c. 安全 管理 从 范畴 上 讲 , 涉 及 物理 安全 策略 、 访 问 控制 策略 .信息 加 密 策 略 和 网 络 
安全 管理 策略 。 

8. 端口 映射 (Port Spanning) 会 增加 交换 机 的 负载 吗 ? 在 交换 机 的 一 个 端口 上 捕获 与 
分 析 网 络 流量 时 ,为 何 看 不 到 所 有 接口 的 流量 ? 

9. Wireshark 可 以 捕获 所 有 到 达 混 杂 模 式 的 网 卡 接口 的 数据 包 吗 ? 在 什么 情况 
下 ,捕获 包 的 长 度 与 网 络 线路 上 数据 包 的 长 度 不 同 ? (提示 , 若 以 太 帧 速 大 于 本 软件 运 
行 速 度 时 ,或 特意 人 工 设置 仅 选择 捕获 每 个 包 的 头 部 信息 时 ,捕获 帧 的 长 度 会 短 于 该 
帧 的 实际 长 度 。) 

10. 在 本 地 计算 机 上 运行 命令 提示 符 的 各 种 命令 时 ,用 Wireshark 将 网 络 数据 流 捕获 
下 来 ,从 捕获 数据 流 中 分 析 各 种 命令 的 工作 原理 。 例 如 ,请 分 析 Ping、Tracert 等 命令 的 工 
作 原 理 , 写 出 实验 分 析 报 告 。 

11. 查找 所 有 数据 包 , 其 IP 地 址 不 是 1. 2. 3. 4。 用 ip. addr! 王 1. 2. 3. 4 可 以 实现 该 操 
作 吗 ? 

12. 在 Wireshark 上 通过 实验 操作 判断 下 列 捕获 过 滤 语 句 的 正 误 : 

a. 捕获 所 有 HTTP 包 : tcp port http 

b. 捕获 所 有 非 HTTP 包 : not tcp port 80 或 !tcp port 80 或 tcp port not 80 或 tcp 
port!80 

c. 捕获 用 HTTP 浏览 www. Wireshark. org 站 点 的 包 : tcp port 80 and www. 
wireshark. com 

d. 捕获 用 HTTP 浏览 非 www. Wireshark. org 站 点 的 包 : tcp port 80 and not src 
www. wireshark. com 

e, 捕获 TCP 包 : tcp 或 ip proto 5 

f. 捕获 TCP SYN 包 : tcp[tcpflag] & tcp 一 syn 一 一 tcp 一 Syn 

g. 捕获 IP 长 度 大 于 255 字 节 的 包 : ipL2:2] 之 0xff 

h. 捕获 IP 或 IPX 包 : ip or ipx 

13， 进行 一 个 需要 占用 大 量 网 络 资源 的 操作 (如 通过 HTTP 或 FTP 下 载 一 个 大 文 
件 ) ,并 捕获 与 跟踪 这 一 活动 的 数据 流 。 有 没有 丢弃 了 数据 包 ? 捕获 期 间 内 计算 机 会 变 得 响 
应 迟钝 吗 ? 

14. 捕获 浏览 器 访问 www. google. com 网 站 的 TCP 流 , 分 离 出 浏览 器 发 出 的 请 求 , 并 
将 数据 文本 复制 下 来 。 是 否 所 有 被 传送 的 对 象 都 是 HTML 页 面 ? Web 浏览 器 如 何 知道 一 
个 数据 应 该 被 解释 为 HTML 或 是 别 的 文件 类 型 ? 该 站 点 的 平均 响应 时 间 是 多 少 ? 有 没有 
发 现 一 些 非常 规 的 协议 ? 

15. 在 你 计算 机 的 命令 提示 符 界面 上 操作 netstat 命令 ,检测 有 多 少 个 网 络 连接 ? 写 出 
分 析 报告 。 

16. 从 www. traceroute. org 上 选择 一 个 traceroute 服务 器 。 执 行 一 次 到 自己 本 机 的 
tracert 命令 ,再 对 那 台 机 器 做 一 次 相反 的 tracert。 记 录 两 次 操作 的 输出 。 评 价 两 次 网 络 通 
信和 路径 的 相似 性 。 

0 


17. 图 7.47 所 示 是 进行 网 络 故障 诊断 的 一 般 流程 , 举 一 个 实践 操作 的 例子 说 明 各 步 双 
需要 做 哪些 事情 ? 


1 一 | 识别 故障 问题 解决 

! i 

| 定义 问题 

上 

| 2 

1 

| 隔离 问题 

| 处 理 记 录 

| ~| 鉴别 并 测试 原因 f 

1 是 
DE o> 

确认 问题 得 到 解决 否 


图 7.47 网 络 故障 诊断 的 一 般 流程 图 
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第 8 章 恶意 软件 及 其 监测 防护 


本 章 讨 论 4 个 方面 内 容 : 计算 机 恶意 软件 的 分 类 ;病毒 类 型 和 感染 机 制 ;对 恶意 软件 的 
对 抗原 理 与 相关 措施 ;网 络 计算 机 内 的 木马 检测 原理 与 防护 措施 。 


8.1 恶意 软件 


8.1.1 恶意 软件 及 其 威胁 


对 计算 机 网 络 系统 的 最 大 威胁 之 一 ,就 是 那些 利用 计算 机 操作 系统 和 程序 的 脆弱 性 及 
漏洞 进行 攻击 的 恶意 软件 ,这 里 所 说 的 程序 既 包 括 一 般 的 应 用 程序 ,也 包括 工具 程序 ,如 编 
辑 器 和 编译 器 等 。 本 节 首 先 介绍 恶意 软件 的 分 类 和 威胁 方式 ,然后 分 析 相 应 的 对 抗 措施 。 

1. 恶意 软件 的 分 类 

恶意 软件 的 分 类 方法 有 多 种 ,图 8. 1 给 出 了 恶意 软件 (或 者 恶意 程序 ) 的 分 类 。 这 些 恶 
意 软件 可 分 为 两 大 类 ,第 一 类 需要 驻 留 在 一 个 宿主 程序 内 ,不 是 独立 的 软件 ,第 二 类 是 可 以 
独立 存在 的 。 前 一 类 实质 上 只 是 一 些 程序 片断 ,它们 必须 依赖 于 一 些 实际 应 用 程序 、 工 具 软 
件 或 系统 程序 才能 生存 ,后 者 是 一 些 可 以 由 操作 系统 调用 和 运行 的 独立 程序 。 

另外 一 种 分 类 方法 是 将 这 些 恶 意 软件 分 为 不 可 进行 自我 复制 的 ,和 可 以 进行 自我 复制 
的 两 类 。 前 一 类 在 宿主 程序 被 触发 的 时 候 执 行 相应 程序 操作 ,但 不 会 进行 自我 复制 和 传播 
操作 ;后 者 包括 程序 段 (病毒 ) 或 独立 的 程序 (蠕虫 和 蛇 神 ), 这 些 程序 执行 的 时 候 将 自动 产生 
自身 的 一 个 或 多 个 副本 ,这 些 副本 在 合适 的 时 机 将 在 本 系统 或 其 他 系统 内 被 激活 。 

本 章 的 讨论 按照 图 8. 1 的 分 类 进行 ,但 这 个 分 类 并 不 能 说 明 问题 的 全 部 。 各 种 恶意 软 
件 可 以 互相 组 合 运行 ,例如 ,逻辑 炸弹 或 特洛伊 木马 都 可 能 是 病毒 和 蠕虫 的 一 部 分 。 病 毒 和 
蠕虫 将 在 后 面 作 详尽 讨论 。 


恶意 软件 分 类 
] 
I 
需要 依附 主 程序 独立 运行 
= 
陷阱 门 | [ 逻辑 炸弹 ] | 特洛伊 森马 | [ 病毒 蠕虫 | [ 蛇 神 
| 不 能 自我 复制 ll 能 自我 复制 | 


图 8.1 恶意 程序 分 类 


2. 陷阱 门 (Trap Doors) 

陷阱 门 (或 称 后 门 ) 是 程序 的 秘密 入 口 点 ,入 侵 者 可 以 绕 开 正 常 的 安全 控制 机 制 而 直接 
通过 该 人 口 访问 该 程序 。 陷 阱 门 并 不 是 一 种 新 技术 ,很 多 年 以 前 程序 开发 设计 人 员 一 直 使 
用 该 技术 来 调试 或 维护 自己 开发 的 程序 。 当 程序 开发 者 在 开发 了 一 个 包含 认证 机 制 或 者 要 
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用 户 输入 很 多 不 同 的 口令 才 可 以 进入 和 运行 的 程序 的 时 候 , 为 避 开 这 些 繁琐 的 认证 机 制 以 
便于 软件 开发 和 调试 的 顺利 进行 ,程序 设计 者 通常 会 设置 这 样 的 后 门 。 计 算 机 系统 陷阱 门 
的 打开 通常 是 用 识别 特定 输入 序列 的 代码 段 ,或 由 某 一 特定 用 户 ID 或 者 特定 的 事件 序列 进 
行 激 活 。 例 如 ,在 计算 机 的 Windows XP 操作 系统 中 ,在 命令 提示 符 界 面 输 入 net user 命令 
( 见 第 7.1.6 节 ), 就 会 发 现 除 了 自己 设置 的 用 户 名 之 外 ,可 能 还 有 两 个 用 户 名 : Help 
Assistant 和 SUPPORT_388945a0, 可 用 于 对 Windows 操作 系统 的 补丁 进行 自动 网 络 下 载 
和 升级 服务 。 

如 果 陷 阱 门 被 恶意 利用 ,作为 未 经 授权 访问 的 人 侵 工 具 时 ,陷阱 门 就 成 为 一 种 安全 威 
胁 。 在 美国 的 一 些 科幻 电影 (如 War Game) 中 描绘 的 网 络 系统 的 脆弱 性 ,体现 了 陷阱 门 的 
基本 思想 。 另 外 一 个 例子 是 Multics 操作 系统 的 开发 过 程 。 在 该 项 目 中 ,美国 空军 的 “猛虎 
队 ” 作 为 模拟 攻击 者 对 该 系统 进行 渗透 测试 ,其 策略 是 向 运行 Multics 软件 的 网 络 系 统 提 供 
该 操作 系统 的 更 新 文件 ,在 更 新 文件 植 人 了 一 个 特洛伊 木马 ,用 于 在 系统 中 设置 一 个 陷阱 
门 。 通 过 此 陷阱 门 猛 虎 队 ”可 以 激活 该 木马 以 获得 对 系统 的 访问 权限 。 这 个 陷阱 门 设计 
得 非常 巧妙 ,甚至 Multics 的 开发 者 们 被 告知 该 系统 已 经 被 安装 了 陷阱 门 之 后 ,都 无 法 从 源 
代码 中 找 出 此 安全 隐患 。 下 面 是 几 种 防止 陷阱 门 的 方法 。 

(1) 在 计算 机 安全 防护 中 ,只 通过 对 操作 系统 代码 的 检测 来 寻找 陷阱 门 是 比较 困难 的 ， 
防护 的 重点 应 当 放 在 对 软件 系统 开发 过 程 的 安全 监督 ,以 及 对 系统 升级 软件 包 的 真实 性 验 
证 中 。 

(2) 不 能 随意 地 下 载 和 安装 来 自 网 络 的 未 经 安全 认证 的 各 种 软件 ,以 防止 计算 机 被 设 
置 陷阱 门 。 因 此 ,在 一 些 正规 的 提供 软件 下 载 或 系统 更 新 服务 的 网 站 上 ,还 提供 每 个 下 载 软 
件 的 完整 性 校 验 码 ,例如 : MD5、SHA-1 或 CRC 校 验 码 等 , 当 用 户 下 载 了 软件 后 ,将 从 该 软 
件 中 计算 出 的 校 验 码 与 权威 网 站 提供 的 校 验 码 进行 对 比 ,如 果 不 同 , 则 说 明 该 软件 被 算 改 
过 ,有 潜在 危险 。 详 见 第 10 章 介绍 。 

(3) 可 用 第 7 章 中 介绍 的 软件 工具 对 自己 的 网 络 计算 机 进行 检测 。 例 如 ,在 命令 提示 
符 下 ,输入 C:\Documents and Settings 二 netstat -an 列 出 本 机 的 网 络 连接 状况 ,查看 本 机 
对 外 部 网 络 已 建立 的 连接 中 哪些 是 未 经 自己 允许 的 ,本 机 的 哪些 开放 端口 是 无 法 确定 用 途 
的 ,是 否 应 当 设 置 防火 墙 隔离 。 

(4) 也 可 以 在 命令 提示 符 下 ,输入 C:\Documents and Settings 二 net user 列 出 本 机 的 
用 户 名 清单 ,查看 哪些 用 户 账 号 是 自己 设置 的 ,哪些 用 户 账号 是 来 历 不明 的 ,是 否 应 当 删 除 。 

3. 逻辑 炸弹 (Logic Bomb) 

逻辑 炸弹 是 出 现 最 早 的 恶意 程序 类 型 之 一 ,在 病毒 和 蠕虫 出 现 之 前 就 有 了 。 侵 辑 炸 弹 
实际 上 是 嵌 在 合法 程序 中 的 代码 段 ,在 满足 某 些 条 件 的 时 候 该 炸弹 将 “引爆 ”。 这 些 引爆 逻 
辑 炸 弹 的 条 件 可 能 包括 特定 文件 的 出 现 或 者 消失 ,每 星期 中 的 一 个 特定 日 子 、 某 特定 的 用 户 
运行 了 一 个 程序 等 。 一 旦 引爆 ,逻辑 炸弹 将 修改 .删除 数据 和 文件 ,使 系统 停机 或 带 来 其 他 
危害 。 一 个 著名 的 逻辑 炸弹 的 例子 是 美国 的 Tim Lloyd 案例 ,他 被 指控 在 自己 工作 的 
Omega Engineering 公司 的 网 络 中 设置 了 逻辑 炸弹 ,造成 了 超过 一 千 万 美元 的 经 济 损失 , 打 
乱 了 公司 的 发 展 计 划 ,并 导致 80 个 工作 人 员 失 业 。Lloyd 被 判 41 个 月 监禁 ,并 罚款 二 百 万 
美元 。 
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4. 特洛伊 木马 (Trojan Horses) 

特洛伊 木马 是 隐藏 在 一 些 有 用 的 或 者 看 起 来 有 用 的 程序 或 命令 中 的 代码 段 , 当 该 程序 
被 调用 的 时 候 , 特 洛 伊 木马 将 执行 某 些 有 害 的 功能 。 

特洛伊 木马 程序 可 以 用 来 间接 地 实现 一 些 未 授权 用 户 无 法 直接 实现 的 功能 。 例 如 ,为 
了 获得 对 共享 系统 中 某 个 用 户 文件 的 访问 权限 ,攻击 者 设计 出 一 个 木马 软件 ,执行 后 可 以 将 
该 用 户 的 某 文件 的 存 取 权 限 改变 为 其 他 用 户 也 可 读 取 。 攻 击 者 可 以 将 隐藏 了 木马 程序 的 软 
件 放置 在 公共 目录 下 ,或 者 将 该 程序 的 名 字 取 为 游戏 或 有 用 的 工具 名 ,来 引诱 其 他 用 户 执行 
该 软件 。 比 如 ,一 个 木马 程序 以 某 种 格式 列 出 了 一 个 用 户 的 文件 清单 , 当 其 他 用 户 执行 该 程 
序 之 后 ,攻击 者 就 可 以 得 到 访问 其 他 用 户 文件 的 权限 。 一 种 难于 检测 的 特洛伊 木马 程序 是 
隐藏 在 编译 器 中 的 , 当 编译 器 对 某 程序 编译 后 ,该 程序 中 就 被 植 人 了 木马 ,木马 修改 了 系统 
的 登录 程序 ,在 其 中 设置 了 一 个 陷阱 门 (用 户 名 ) ,通过 该 陷阱 门 ,攻击 者 可 以 用 一 个 特殊 的 
口令 登录 系统 。 而 通过 分 析 登 录 程序 的 源 代码 是 不 可 能 检测 出 这 种 木马 的 。 

设计 木马 的 另外 一 种 动机 是 破坏 数据 。 木 马 程序 表面 看 起 来 是 执行 一 种 有 用 的 功能 的 
程序 (如 一 个 计算 器 程序 等 ) ,但 该 程序 也 能 悄悄 地 删除 用 户 文件 。 美 国 哥 伦比 亚 广播 公司 
(CBS) 的 一 个 执行 官 因为 中 了 木马 病毒 而 丢失 了 他 个 人 计算 机 中 的 所 有 数据 ,该 木马 被 放 
置 于 一 个 图 形 程序 中 ,通过 网 络 上 的 电子 公告 牌 系统 提供 给 用 户 自由 下 载 。 在 本 章 后 面 还 
要 对 木马 的 工作 原理 和 对 抗 措施 进行 详细 介绍 。 

5. 僵尸 CZombie) 

僵尸 (也 称 为 蛇 神 ) 程 序 事先 秘密 地 进入 到 连接 在 网 络 上 的 大 量 的 计算 机 ,获取 了 对 这 
些 计算 机 的 控制 权 , 然 后 以 这 些 被 劫持 的 计算 机 为 跳板 实施 对 第 三 方 的 某 一 网 络 目标 机 的 
攻击 行为 ,这 就 使 得 追踪 发 现 真正 的 攻击 者 变 得 十 分 困难 。 僵 尸 程序 可 以 应 用 于 对 Web 服 
务 器 的 拒绝 服务 攻击 ,攻击 者 将 僵尸 程序 事先 植 入 到 成 千 上 万 台 网 络 计算 机 中 ,然后 在 某 特 
定时 刻 控制 这 些 计算 机 一 起 向 目标 网 站 发 起 访问 (例如 发 送 TCP 的 SYN 连接 请 求 等 ) 。 
由 于 Web 服务 器 对 每 个 访问 请 求 都 要 发 回响 应 并 分 配 相 应 的 存储 资源 , 收 到 浪 涌 式 的 巨大 
访问 量 后 , 耗 尽 了 服务 器 和 网 络 的 资源 ,使 得 该 站 点 陷入 拒绝 服务 状态 ,达到 攻击 的 目的 。 


8.1.2 病毒 的 本 质 


生物 学 意义 上 的 病毒 (Virus) 实 际 上 是 一 些 由 DNA 或 者 RNA 组 成 的 基因 片断 (并 不 
是 一 种 独立 的 活体 ) ,病毒 可 以 接管 生物 体内 活 细胞 的 工作 机 制 , 并 使 该 细胞 制造 出 众多 的 
原 病 毒 的 副本 。 与 生物 学 病毒 的 工作 机 制 相似 ,计算 机 病毒 也 可 以 植 入 宿主 程序 中 ,并 产生 
更 多 的 病毒 副本 。 典 型 的 计算 机 病毒 进入 主机 之 后 将 驻 留 其 中 ,临时 控制 计算 机 的 磁盘 操 
作 系 统 , 感 染病 毒 后 的 计算 机 运行 其 他 未 感染 的 程序 后 ,病毒 的 副本 就 会 进入 这 些 程序 中 。 
计算 机 病毒 就 这 样 通过 无 警惕 性 的 用 户 的 存储 U 盘 或 者 在 网 络 上 交换 文件 传播 开 来 。 由 
于 通过 网 络 访问 其 他 计算 机 上 的 资源 是 一 件 非常 普通 的 事情 ,这 使 得 网 络 成 为 计算 机 病毒 
培育 和 传播 的 良好 环境 。 

可 以 通过 自动 执行 或 人 工 操作 ,将 病毒 程序 捆绑 或 嵌入 到 某 些 应 用 程序 中 以 达到 感染 
该 程序 的 目的 。 被 感染 病毒 的 程序 又 再 次 去 感染 其 他 程序 ,从 而 实现 迅速 的 扩展 蔓延 。 病 
毒 程序 可 以 做 其 他 程序 可 以 做 的 任何 事情 。 与 普通 程序 相 比 ,病毒 程序 的 唯一 不 同 之 处 就 
在 于 , 当 宿主 程序 执行 的 时 候 病毒 程序 就 会 秘密 执行 自己 的 功能 。 一 旦 病毒 被 激活 ,就 可 以 
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实现 设计 者 所 设计 的 功能 ,比如 删除 文件 和 程序 等 。 
病毒 的 生命 周期 可 分 为 如 下 4 个 阶段 : 


(1) 休眠 阶段 : 在 该 阶段 病毒 不 进行 操作 ,而 是 等 待 触发 ,触发 条 件 包括 日 期 \ 其 他 程 
序 或 文件 的 出 现 、 磁 盘 容 量 超过 某 个 限度 等 。 并 不 是 所 有 的 病毒 都 有 这 一 阶段 。 

(2) 传播 阶段 : 在 这 一 阶段 ,病毒 把 自己 的 副本 植 入 其 他 程序 或 者 某 个 系统 的 磁盘 区 
域 。 每 一 个 被 感染 的 程序 将 含有 病毒 的 一 个 副本 ,并 且 此 副本 也 开始 向 其 他 程序 进行 传播 。 

(3) 触发 阶段 : 这 一 阶段 病毒 被 激活 以 执行 病毒 设计 者 预先 设计 好 的 功能 。 与 休眠 阶 
段 类 似 , 病 毒 进 入 这 一 阶段 同样 需要 一 些 系统 事件 的 触发 ,还 包括 病毒 本 身 复 制 的 副本 数 达 


到 某 个 门限 值 。 


(4) 执行 阶段 : 这 一 阶段 病毒 执行 预 设 的 功能 。 


这 些 功能 也 可 能 是 无 害 的 ,比如 仅仅 


是 在 屏幕 上 显示 一 条 消息 等 :也 可 能 是 破坏 性 的 ,比如 程序 或 数据 文件 的 破坏 等 。 
大 多 数 病毒 程序 的 运行 都 是 针对 某 一 特定 的 操作 系统 而 设计 的 , 某 种 操作 系统 的 病毒 
对 另 一 种 操作 系统 是 无 效 的 ,有 些 病毒 还 可 能 只 是 针对 某 一 特定 的 硬件 平台 。 因 此 ,病毒 的 


设计 需要 对 特定 系统 的 细节 和 弱点 有 深入 了 解 。 
1. 病毒 程序 的 结构 


病毒 程序 可 以 设置 在 一 个 可 执行 程序 的 头 部 或 尾部 ,也 可 以 用 其 他 方式 能 入 到 一 些 可 
执行 程序 之 中 。 如 果 病 毒 被 嵌入 在 被 感染 程序 的 头 部 ,运行 该 程序 时 将 首先 执行 病毒 代码 ， 


之 后 再 执行 原来 的 程序 代码 。 

图 8. 2 是 一 种 病毒 程序 结构 的 实例 。 此 例 中 ， 
病毒 程序 名 为 V 被 设置 到 受 感染 程序 的 头 部 ,该 程 
序 被 执行 时 ,首先 运行 的 就 是 病毒 的 代码 。 

受 感染 程序 以 执行 病毒 代码 开始 , 按 如 下 过 程 
运行 。 程 序 的 第 一 行 是 向 病毒 程序 的 跳 转 语句 ;第 
二 行 是 一 个 特殊 的 标记 字段 ,病毒 利用 该 标记 来 判 
断 一 个 潜在 的 目标 程序 是 否 已 经 被 感染 。 当 程序 
被 调用 的 时 候 ,控制 刀 辑 直接 转 到 主 病毒 程序 , 病 
毒 程 序 首先 寻找 未 被 感染 (没有 该 标记 ) 的 文件 并 
对 其 进行 感染 操作 。 接 下 来 ,病毒 可 以 执行 一 些 通 
常 对 系统 有 害 的 操作 ,这 些 操作 可 以 在 每 次 程序 被 
调用 的 时 候 执 行 ,也 可 以 作为 一 个 逻辑 炸弹 在 相关 
条 件 满足 的 时 候 触 发 执行 。 最 后 ,病毒 程序 将 控制 
人 逻辑 移交 给 宿主 程序 。 如 果 感 染 过 程 足够 快 ,那么 
用 户 就 很 难 注意 到 程序 感染 前 后 执行 时 的 差别 。 

图 8. 2 描述 的 病毒 很 容易 被 检测 出 来 ,因为 被 感 
染病 毒 后 的 程序 要 比 未 感染 的 长 ,很 容易 利用 完整 性 


program V := 
{goto main; 
1234567; 
subroutine infect-executable:= 
{loop: 
file:= get-random-executable-file; 
if (first-line-of-file = 1234567) 
then goto loop 
else prepend V to file;} 
subroutine do-damage:= 
{whatever damage is to be done} 
subroutine trigger-pulled := 
{return true if some condition holds} 
main: ”main-program := 
{infect-executable; 
if trigger-pulled then do-damage; 
goto next;} 


next: 


图 8.2 一 个 简单 的 病毒 程序 


校 验 码 检 测 出 来 。 一 种 用 于 逃避 这 种 长 度 比较 检测 的 方法 是 对 可 执行 文件 进行 压缩 ,以 使 得 
感染 病毒 前 后 的 文件 长 度 一 致 。 图 8. 3 是 这 种 方法 的 一 般 过 程 ,这 种 压缩 病毒 的 关键 语句 部 
分 在 图 8. 3 中 以 数字 标 出 ,图 8. 4 表明 了 这 种 操作 过 程 。 假 设 程序 Pl 被 病毒 CV 感染 , 当 这 
一 程序 被 调用 的 时 候 ,程序 的 控制 逻辑 被 病毒 主导 ,并 按 如 下 几 个 步骤 进行 操作 : 
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program CV := 
{goto main; 
01234567; 
subroutine infect-executable := 
{loop: 
file := get-random-executable-file; 
if (first-line-of-file = 01234567) then goto loop; 


(1) compress file; Pp 


2 
(2) prepend CV to file; Cv cv|/- 村 a CV 
} 1 二 | 
5 1 1 ! ! 
main: main-program: 一 1 
Re ees i P2 A BL TP MA 
{if ask-permission then infect-executable; pl pr | 3 证 11| p2’ 
(3) uncompress rest-of-file; 1 1 1 | 
(4) run uncompressed file;} sl | 
} t0 tl 
图 8.3 压缩 病毒 的 逻辑 图 8.4 一 种 压缩 变形 病毒 的 工作 过 程 


(1) 当 搜 索 发 现 到 未 感染 病毒 的 文件 P2, 病 毒 首先 将 该 文件 P2 压缩 为 P2', 该 文件 的 
长 度 减 少 的 字 节 数 等 于 病毒 的 长 度 。 

(2) 病毒 将 它 的 一 个 副本 加 入 到 压缩 后 的 文件 P2 头 部 。 

(3) 对 曾经 感染 病毒 并 压缩 后 的 文件 P1' 进 行 解压 缩 ,还 原文 件 P1。 

(4) 解压 还 原 的 原 程序 Pl 开始 执行 正常 功能 。 

此 例 中 的 病毒 除了 进行 传播 以 外 没有 做 任何 坏事 。 实 际 上 病毒 也 可 以 携带 前 述 的 逻辑 
炸弹 等 。 

2. 初始 感染 的 途径 

一 旦 某 个 感染 了 病毒 的 程序 进入 了 系统 , 当 该 程序 开始 执行 时 ,病毒 就 可 以 对 系统 中 部 
分 或 所 有 可 执行 文件 进行 感染 。 因 此 ,能 防止 病毒 感染 的 第 一 步 . 就 在 于 拒 它 于 系统 之 外 。 
特别 是 在 进行 计算 机 之 间 的 文件 交换 传输 的 过 程 中 有 可 能 受到 病毒 感染 。 

大 多 数 病 毒 传播 的 源头 是 磁盘 和 U 盘 , 在 将 盘 内 的 文件 复制 到 系统 的 时 候 , 就 可 能 同 
时 将 病毒 复制 到 系统 中 。 很 多 从 网 络 下 载 的 文件 包含 游戏 程序 或 者 一 些 简单 使 用 的 小 工具 
软件 。 一 些 企业 员工 将 这 些 U 盘 在 家 庭 计 算 机 中 使 用 后 ,又 带 到 办 公 室 的 计算 机 上 ,从 而 
传播 了 病毒 。 还 有 一 些 病毒 来 自 于 应 用 程序 或 软件 光盘 的 开发 商 。 有 一 部 分 网 站 在 提供 免 
费 下 载 的 软件 中 设置 了 病毒 等 恶意 程序 。 

3. 病毒 的 类 型 

自 病毒 出 现 之 日 起 ,病毒 制造 者 和 杀毒 软件 的 开发 者 之 间 的 对 抗 竞 赛 就 没有 停止 过 ,每 
当 对 已 知 病毒 的 防护 软件 开发 出 来 以 后 ,又 会 有 新 的 病毒 被 制造 出 来 。 反 病毒 专家 将 主要 
的 病毒 分 为 如 下 几 种 类 别 : 

(1) 寄生 病毒 (Parasitic Virus): 寄生 病毒 是 比较 传统 的 一 种 病毒 ,现在 还 是 最 常见 的 
种 类 。 寄 生病 毒 将 其 自身 附加 到 可 执行 文件 之 中 , 当 感 染 的 可 执行 文件 (宿主 程序 ) 执 行 时 ， 
病毒 就 寻找 系统 中 其 他 未 感染 的 文件 并 感染 该 文件 。 

(2) 内 存 驻 留 型 病毒 (Memory-resident Virus): 作为 驻 留 系 统 程序 的 一 部 分 留 在 内 存 
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中 ,可 以 感染 所 执行 的 一 切 程 序 。 

(3) 引导 扇 区 病毒 (Boot Sector Virus): 这 种 类 型 的 病毒 感染 主 引导 记录 或 者 其 他 引 
导 记 录 , 当 系统 从 包含 有 这 种 病毒 的 磁盘 启动 的 时 候 , 病 毒 就 会 传播 开 来 。 因 此 有 些 杀 毒 软 
件 提供 了 开机 杀毒 的 选项 。 

(4) 隐秘 病毒 (Stealth Virus) : 这 种 病毒 的 巧妙 设计 使 其 有 较 好 的 隐藏 性 ,可 以 避免 反 
病毒 软件 的 检测 。 

(5) 多 态 病毒 (Polymorphic Virus) : 这 种 类 型 的 病毒 在 每 次 感染 的 时 候 都 会 表现 为 不 
同 的 形态 ,这 使 得 试图 通过 病毒 特征 码 来 进行 检测 的 手段 失去 效用 。 

前 面 讨论 的 压缩 型 病毒 就 是 一 个 隐秘 病毒 的 简单 实例 ,通过 压缩 技术 ,文件 感染 前 后 的 
长 度 是 一 致 的 ,因此 仅仅 通过 比较 文件 的 字 节 长 度 来 查找 病毒 是 不 够 的 。 更 为 复杂 的 隐藏 
技术 是 ,病毒 可 以 在 磁盘 I/O 输入 /输出 程序 中 设置 中 断 逻 辑 , 当 要 读 取 受 怀疑 的 程序 代码 
来 查找 它 时 ,病毒 就 将 程序 返回 到 未 感染 时 的 状态 。 因 此 隐秘 技术 是 病毒 用 于 逃避 监测 的 
手段 。 

多 态 病毒 在 感染 其 他 文件 时 复制 产生 的 副本 具有 与 本 身 一 致 的 功能 ,但 是 有 不 同 的 比 
特 模式 。 多 态 病 毒 的 设计 也 是 为 了 逃避 反 病 毒 软件 的 检测 。 多 态 病 毒 实 现 的 关键 是 病毒 的 
特征 码 在 不 同 的 病毒 副本 里 有 不 同 的 表现 形式 。 为 达到 这 样 的 多 态 效果 ,在 感染 其 他 文件 
时 ,病毒 代码 中 可 以 插入 一 些 多 余 的 指令 ,或 者 交换 独立 指令 的 顺序 。 一 个 更 有 效 的 方法 是 
运用 加 密 技术 ,病毒 的 一 部 分 称 为 变形 机 (mutation engine) ,产生 一 个 随机 的 加 密 密 钥 对 病 
毒 的 其 余部 分 进行 加 密 。 密 钥 与 病毒 存放 在 一 起 ,而 变形 机 本 身 是 变换 的 。 当 一 个 感染 的 
程序 被 调用 的 时 候 ,病毒 用 存储 的 随机 密 钥 对 病毒 进行 解密 ; 当 病毒 进行 复制 的 时 候 , 会 选 
择 一 个 不 同 的 随机 数 作为 新 密 钥 。 

病毒 制造 者 的 另 一 个 重型 武器 是 病毒 工具 箱 。 利 用 这 种 工具 箱 ,一 个 病毒 编写 新 手 可 
以 快速 地 编写 出 大 量 不 同 的 病毒 。 虽 然 利用 病毒 工具 箱 制造 的 病毒 比 那些 从 每 个 代码 开始 
编写 出 来 的 病毒 在 复杂 度 上 要 低 一 些 , 但 是 , 仅 赁 可 以 快速 地 制造 出 大 批量 的 病毒 ,对 反 病 
毒 技术 来 说 也 是 一 个 严重 的 问题 。 

4. 宏 病 毒 (Macro Viruses) 

宏 (Macro) 是 微软 的 嵌入 在 Office 应 用 软件 (如 Excel、Word 等 ) 里 的 一 种 提高 操作 效 
率 的 可 执行 程序 。 使 用 宏 的 功能 可 以 自动 地 完成 一 些 重复 性 的 文字 处 理工 作 , 以 减少 键盘 
输入 操作 的 击 键 次 数 。 例 如 : 加 速 文 档 编 辑 和 格式 设置 等 重复 性 操作 ,组 合 多 个 操作 命令 ， 
自动 执行 一 系列 复杂 的 MS Office 编辑 任务 ,通过 单 击 冤 入 在 Word 文件 的 关键 词 中 的 超 
链接 ,自动 启动 浏览 器 访问 (URL) 指 定 的 资源 等 。 宏 语言 是 Basic 语言 的 一 种 。 除 了 微软 
提供 的 宏 功 能 外 ,也 可 以 自 定义 一 个 宏 来 自动 完成 一 系列 的 击 键 操作 的 顺序 ,这样 当 输入 某 
个 功能 键 或 某 几 个 功能 键 的 时 候 就 可 以 调用 该 宏 以 完成 预定 的 操作 功能 。 关 于 对 MS 
Office 的 宏 的 理解 与 应 用 ,可 作为 课外 习题 。 

宏 病 毒 利用 宏 的 自动 执行 功能 来 实施 破坏 作用 , 它 的 危险 性 如 下 : 

(1) 宏 病 毒 是 与 系统 平台 无 关 的 。 所 有 的 宏 病 毒 都 会 感染 Microsoft Office 文档 ,任何 
支持 Office 或 Word 的 硬件 平台 和 操作 系统 都 可 能 被 宏 病毒 感染 。 

(2) 宏 病 毒 感染 的 目标 是 文档 ,而 不 是 代码 段 。 而 大 多 数 进入 系统 的 软件 信息 在 形式 
上 是 文档 格式 而 不 是 程序 形式 。 
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(3) 宏 病毒 的 传播 更 加 简单 。 一 个 普遍 的 方法 是 通过 电子 邮件 进行 宏 病毒 的 传播 。 

宏 病 毒 的 产生 就 是 利用 了 宏 的 自动 执行 特点 。 宏 的 功能 可 以 自动 调用 ,而 不 需要 用 户 
的 输入 操作 。 通 常 的 宏 的 自动 执行 功能 包括 : 打开 一 个 文件 ,关闭 一 个 文件 ,启动 一 个 应 用 
程序 等 。 一 旦 一 个 宏 病 毒 运行 起 来 , 它 可 以 将 自身 复制 到 其 他 同类 文档 ,删除 文件 ,导致 对 
用 户 系统 的 破坏 等 。 在 Microsoft Word 中 ,有 3 种 可 自动 执行 的 宏 : 

@ 自动 执行 宏 (Auto-execute) : 如 果 一 个 名 为 Auto Exec 的 宏 存 在 于 Word 启动 目录 
下 的 normal. dot 模板 中 或 者 一 个 全 局 模板 中 ,那么 每 次 启动 Word 的 时 候 , 这 种 类 型 的 宏 
就 会 自动 执行 。 

@ 自动 安 (Auto-macro) : 这 种 宏 在 事先 定义 了 的 操作 事件 发 生 的 时 候 执 行 ,这 些 操作 
事件 包括 打开 或 关闭 一 个 文档 ,创建 一 个 文档 、 退 出 Word 等 。 

@@ 命令 宏 (Command macro) : 如 果 一 个 宏 在 全 局 宏 的 文件 里 ,或 一 个 宏 附 加 在 具有 一 
个 Word 命令 作为 名 字 的 文件 上 , 则 每 当 用 户 调用 该 命令 (如 File Save) 的 时 候 , 该 宏 将 会 执 
行 ; 

传播 宏 病 毒 的 方法 是 : 首先 ,将 自动 宏 或 命令 宏 附 加 到 Word 文档 中 ,该 文档 通过 电子 
PE 件 或 者 移动 磁盘 的 形式 进入 到 系统 中 。 在 该 文档 打开 后 , 宏 将 会 得 到 执行 ,之 后 ,该 宏 将 
自身 复制 到 全 局 宏 的 文件 中 。 当 下 一 次 打开 Word 的 时 候 , 已 经 被 感染 的 全 局 宏 将 被 激活 ， 
该 宏 可 以 自我 复制 并 给 系统 带 来 损坏 。 

微软 的 Office 最 新 版 本 里 增强 了 对 宏 病 毒 的 防护 措施 。 例 如 ,提供 了 一 种 可 选 的 宏 病 
毒 防护 工具 ,该 工具 可 以 检测 到 可 疑 的 Word 文件 , 当 打 开 一 个 具有 宏 的 文件 时 ,可 用 对 话 
框 提醒 用 户 此 操作 具有 潜在 的 危险 性 。 很 多 反 病 毒 产 品 开 发 商 也 提供 了 检测 和 对 抗 宏 病 毒 
的 工具 。 

5. 电子 邮件 病毒 

恶意 软件 中 的 一 类 是 电子 邮件 病毒 ,第 一 个 广泛 传播 的 电子 邮件 病毒 是 Melissa 病毒 。 
该 病毒 使 用 了 Microsoft Word 的 宏 ,并 机 在 电子 邮件 附件 中 。 如 果 邮 件 接 收 者 打开 了 该 附 
件 , 则 Word 宏 被 激活 ,然后 : 

(1) 电子 邮件 病毒 搜寻 本 用 户 通信 筹 的 地 址 列表 ,把 自身 发 送 到 列表 中 的 每 一 个 地 址 ， 

(2) 病毒 对 本 机 系统 进行 某 种 破坏 。 

在 1999 年 末 , 一 种 更 大 的 电子 邮件 病毒 出 现在 互联 网 。 只 要 打开 含有 这 种 病毒 的 电子 
邮件 ,该 病毒 就 会 激活 ,而 不 再 需要 打开 附件 以 后 才 执 行 。 该 病毒 使 用 了 电子 邮件 软件 包 支 
持 的 Visual Basic 脚本 语言 。 

从 以 上 所 述 可 以 看 到 ,恶意 软件 已 经 发 展 到 了 新 一 代 , 这些 软 件 通 过 电子 邮件 在 
Internet 上 传播 。 当 打开 电子 邮件 或 电子 邮件 附件 的 时 候 .病毒 被 激活 ,并 可 以 向 已 感染 机 
器 中 邮件 地 址 列表 中 的 所 有 地 址 进行 病毒 的 传播 。 这 样 ,病毒 的 传播 速度 从 过 去 的 数 月 或 
者 数 周 减少 到 几 个 小 时 。 这 使 得 反 病 毒 软件 很 难 在 危害 发 生 之 前 做 出 积极 的 应 对 措施 。 


8.1.3 蠕虫 
电子 邮件 病毒 具有 蠕虫 的 一 些 特 征 , 然 而 ,我 们 还 是 将 电子 邮件 病毒 归 类 于 病毒 , 因为 
它 的 传播 还 是 需要 靠 人 的 操作 。 蠕 虫 可 以 主动 地 寻找 目标 机 器 进行 感染 ,此 后 , 受 感染 的 计 


算 机 又 成 为 对 其 他 计算 机 实施 攻击 的 平台 。 在 第 8. 5 节 中 对 3 种 蠕虫 的 网 络 活动 进行 了 捕 
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获 数据 分 析 。 

网 络 蠕虫 程序 利用 网 络 从 一 个 系统 传递 到 另外 一 个 系统 。 在 某 系统 内 ,蠕虫 程序 被 激 
活 后 ,可 以 像 计算 机 病毒 或 细菌 一 样 运作 ,还 可 以 在 系统 中 植 和 人 特洛伊 木马 ,或 者 执行 一 些 
破坏 性 或 中 断 的 操作 。 为 实现 自身 的 复制 ,网络 蠕虫 需 要 使 用 一 些 网 络 媒介 ,包括 ， 

电子 邮件 设施 : 利用 电子 邮件 ,蠕虫 可 以 将 自身 的 副本 传递 给 其 他 系统 。 

远程 执行 功能 : 利用 此 功能 ,蠕虫 的 副本 可 以 在 其 他 系统 上 远程 运行 。 

远程 登录 功能 : 蠕虫 可 以 作为 一 个 用 户 登 陆 远程 系 统 ,并 使 用 相应 的 命令 将 自身 从 一 
个 系统 复制 到 另外 的 系统 中 。 

蠕虫 程序 的 新 副本 在 远程 系统 上 运行 时 , 除 在 该 系统 执行 一 些 相应 功能 外 ,继续 以 相同 
的 方式 传播 。 网 络 蠕虫 具有 与 计算 机 病毒 一 样 的 特征 : 休眠 阶段 ,传播 阶段 .触发 阶段 和 执 
行 阶段 。 传 播 阶段 主要 执行 如 下 功能 : 

(1) 通过 搜索 已 感染 主机 的 地 址 短 或 其 他 类 似 存 放 远 程 系统 地 址 的 文件 ,得 到 下 一 步 
要 感染 的 目标 ; 

(2) 建立 与 远程 目标 系统 的 连接 ; 

(3) 将 自身 复制 给 远程 目标 系统 ,并 执行 该 副本 。 

在 将 自身 复制 到 某 系统 之 前 ,网 络 蠕虫 可 以 判断 该 系统 是 否 已 经 被 感染 。 在 多 进程 系 
统 中 ,蠕虫 还 可 以 将 自身 命名 为 系统 进程 名 ,或 其 他 不 容易 被 系统 操作 员 注 意 到 的 名 字 , 以 
防止 被 检测 出 来 。 

与 防护 病毒 感染 一 样 ,如果 能 够 对 网 络 安全 设施 和 单机 系统 安全 功能 进行 正确 的 配置 
和 实施 ,就 可 以 将 蠕虫 的 危害 降 到 最 低 。 

1. 莫 里 斯 蠕虫 (Morris Worm) 

经 很 著名 的 一 种 蠕虫 是 1998 年 Robert Morris 在 Internet 上 发 布 的 Morris 蠕虫 。 
Morris 蠕虫 被 设计 为 在 UNIX 系统 上 传播 ,并 采用 了 很 多 不 同 的 传播 技术 。 当 该 蠕虫 开始 
执行 时 ,首先 要 执行 的 任务 是 寻找 可 以 从 本 地 计算 机 进入 的 其 他 主机 。 这 个 任务 是 通过 搜 
索 系统 里 的 很 多 列表 实现 的 ,包括 本 主机 信任 的 其 他 机 器 名 单列 表 、 电 子 邮 件 转 发 文件 、 可 
以 授权 登录 的 远程 账号 列表 和 一 个 报告 网 络 连接 状态 的 程序 等 。 对 每 一 个 搜索 到 的 主机 ， 
蠕虫 将 尝试 如 下 方法 以 获得 对 它 的 访问 权 : 

(1) 蠕虫 尝试 作为 合法 用 户 登 录 远 程 主机 。 在 这 种 方法 中 ,蠕虫 首先 尝试 对 本 地 口令 
文件 进行 破解 ,之 后 利用 得 到 的 口令 和 相应 的 用 户 ID 登录 远程 主机 。 这 里 假设 很 多 用 户 会 
在 不 同 的 系统 中 使 用 相同 的 口令 。 为 获得 口令 .蠕虫 运行 一 个 口令 破解 程序 作 如 下 破解 尝 
试 : 利用 每 个 用 户 的 账号 名 以 及 该 账号 名 的 简单 排列 变换 ;利用 内 置 的 432 个 莫 里 斯 认为 
可 以 作为 候选 的 口令 ;尝试 本 地 系统 目录 里 的 所 有 词汇 。 

(2) 利用 finger 协议 的 一 个 漏洞 ,这 个 漏洞 会 报告 远程 用 户 所 在 的 位 置 。 

(3) 利用 远程 进程 中 的 一 个 收发 邮件 的 调试 程序 的 选项 .该 选项 成 了 一 个 陷阱 门 。 

这 些 攻击 中 的 任意 一 种 取得 成 功 后 ,蠕虫 就 建立 了 与 操作 系统 命令 行 编译 器 的 通信 。 
之 后 蠕虫 向 此 编译 器 发 送 一 个 简短 的 引导 程序 ,并 发 送 命令 执行 该 程序 ,然后 退出 系统 。 该 
引导 程序 返回 与 父 程 序 联系 ,然后 下 载 蠕虫 的 剩余 部 分 。 通 过 这 样 一 个 过 程 ,新 蠕虫 就 开始 
执行 。 
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2. 红色 代码 蠕虫 (Code Red Worm) 

新 一 代 蠕虫 威胁 起 始 于 2001 年 7 月 发 布 的 红色 代码 蠕虫 。 红 色 代 码 蠕 虫 利用 了 
Microsoft 的 互联 网 信息 服务 器 (Internet Information Sever，IIS) 的 一 个 安全 漏洞 进行 渗透 
和 传播 。 还 使 Windows 的 系统 文件 校 验 器 失去 效用 。 红 色 代 码 蠕虫 还 利用 随机 产生 的 IP 
地 址 向 其 他 主机 进行 传播 。 在 一 个 特定 的 时 间 段 内 ,蠕虫 只 是 进行 传播 ,在 某 一 时 刻 , 从 大 
量 的 网 络 计算 机 同时 向 一 个 政府 网 站 发 送 大 量 的 泛 洪 式 的 数据 包 ,形成 拒绝 服务 攻击 。 攻 
击 之 后 ,蠕虫 将 暂停 活动 ,并 又 定期 地 重新 展开 攻击 。 在 第 二 轮 攻击 中 ,红色 代码 蠕虫 在 
14 个 小 时 之 内 感染 了 近 360000 台 服 务 器 。 除 了 对 目标 服务 器 的 艇 炸 性 攻击 以 外 ,红色 代 
码 蠕虫 还 消耗 大 量 的 互联 网 信道 资源 ,降低 了 服务 质量 。 参 看 第 8. 5 节 的 案例 分 析 。 

红色 代码 开 是 一 个 以 Microsoft IIS 为 攻击 目标 的 蠕虫 变种 ,在 受 感染 的 服务 器 中 安装 
了 一 个 陷阱 门 , 使 得 黑客 可 以 直接 操纵 受害 计算 机 上 的 活动 。 

在 2001 年 末 出 现 了 一 个 功能 更 加 多 样 化 的 Nimda 蠕虫 。Nimda 蠕虫 可 以 通过 下 述 机 
制 进行 传播 : 通过 电子 邮件 在 客户 机 之 间 传 播 ;通过 开放 的 网 络 共享 资源 在 客户 间 传 播 ; 通 
过 被 人 侵 的 Web 服务 器 向 浏览 该 站 点 的 客户 传播 ;通过 主动 扫描 和 探测 Web 服务 器 的 各 
种 Microsoft IIS 4.0/5.0 目录 的 漏洞 ,从 客户 机 向 服务 器 进行 传播 ;通过 搜索 红色 代码 了 里 
虫 留 下 的 陷阱 门 ,从 客户 机 向 Web 服务 器 进行 传播 。 蠕 虫 可 以 修改 Web 文档 (如 . htm、 
.html 和 . asp 文件 等 ) 和 受 感染 系统 上 的 某 些 可 执行 文件 ,并 产生 众多 名 字 各 异 的 蠕虫 的 
副本 。 


8.2 病毒 对 抗 措施 


8.2.1 对 抗 病毒 的 方法 


对 病毒 威胁 首先 是 预防 : 通过 各 种 措施 防止 病毒 进入 系统 。 这 个 目标 是 美好 的 ,但 是 
实际 上 不 可 能 完全 实现 ,必要 的 防护 措施 只 是 在 一 定 程度 上 可 降低 病毒 攻击 成 功 的 可 能 性 。 
下 面 是 应 对 病毒 威胁 的 几 种 基本 措施 。 

检测 : 一 旦 病毒 感染 了 系统 ,就 应 该 尽快 发 现 ,并 且 对 病毒 进行 定位 。 

识别 : 在 发 现 了 病毒 以 后 ,应 该 能 够 识别 感染 程序 的 病毒 类 型 。 

清除 : 识别 出 病毒 之 后 ,从 被 感染 的 程序 中 清除 掉 病 毒 产 生 的 所 有 影响 ,并 使 程序 还 原 
到 感染 之 前 的 状态 。 从 所 有 受 感染 的 系统 中 清除 病毒 以 保证 病毒 不 会 再 继续 传播 。 当 访问 
了 不 可 靠 的 网 站 后 ,立即 手工 清除 浏览 器 临时 文件 夹 中 留 下 的 Cookie. 参 看 第 6 章 的 介绍 。 

如 果 检 测 到 了 病毒 感染 ,但 无 法 识别 或 清除 病毒 ,那么 解决 方案 是 删除 被 感染 的 程序 ， 
重新 安装 备份 的 程序 软件 。 病 毒 制造 技术 和 反 病 毒 技 术 是 交替 式 发 展 的 。 早 期 的 病毒 是 相 
对 比较 简单 的 代码 片段 ,对 这 样 的 病毒 ,用 相对 简单 的 反 病 毒 软件 就 可 以 检测 和 清除 。 随 着 
病毒 对 抗 双 方 的 发 展 和 演化 ,病毒 和 反 病 毒 软件 都 变 得 越 来 越 复杂 和 高 级 。 

一 般 可 将 反 病毒 软件 划分 为 4 类 : 简单 的 病毒 扫描 器 ,启发 式 的 病毒 扫描 器 ,主动 的 病 
毒 活 动 陷阱 ,全 面 地 多 功能 防护 。 

第 一 类 病毒 扫描 器 需要 用 病毒 特征 码 作为 识别 病毒 的 依据 。 病 毒 可 能 包含 一 些 用 于 变 
换 形式 的 “通配符 ”, 但 在 该 病毒 的 所 有 副本 里 都 具有 实质 上 相同 的 结构 和 比特 模式 。 这 种 
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基于 病毒 特征 码 的 扫描 器 只 能 检测 已 知 的 病毒 。 还 有 一 种 类 型 具有 记录 程序 长 度 的 措施 ， 
通过 观察 对 比 程序 长 度 的 变化 来 进行 病毒 检测 。 参 看 图 8. 5 病毒 免疫 系统 的 工作 原理 。 

第 二 类 病毒 扫描 器 不 依赖 于 特定 的 病毒 特征 码 , 而 是 用 推测 启发 式 的 规则 来 搜索 可 能 
的 病毒 感染 。 这 些 扫描 器 可 以 搜索 经 常 与 病毒 相关 联 的 代码 段 。 例 如 ,扫描 器 可 以 搜索 用 
于 变形 病毒 的 加 密 循环 过 程 的 开始 点 ,并 搜索 发 现 加 密 密 钥 。 一 旦 找到 了 密 钥 ,扫描 器 就 可 
以 对 病毒 进行 解密 并 识别 ,之 后 清除 病毒 ,恢复 受 感染 程序 的 正常 服务 功能 。 

第 二 类 扫描 技术 的 另外 一 种 方法 是 对 文件 数据 进行 完整 性 校 验 。 常 用 的 文件 校 验 码 有 
3 种 : MD5,SHA-1 和 CRC-32。 关 于 校 验 码 的 原理 参看 第 10 章 的 介绍 。 对 每 一 个 文件 或 
程序 的 代码 进行 校 验 码 的 计算 ,并 将 此 校 验 码 附 加 到 程序 的 尾部 。 如 果 病 毒 感染 了 某 个 文 
件 或 程序 但 蚌 没 有 改变 其 附加 在 尾部 的 校 验 码 , 则 通过 完整 性 校 验 可 判断 该 文件 受到 算 改 
或 破坏 。 为 防止 复杂 度 更 高 的 一 些 病毒 在 感染 程序 的 同时 改变 其 校 验 码 , 可 以 将 附加 在 文 
件 后 部 的 校 验 码 加 密 , 加 密 密 钥 不 与 文件 存储 在 一 起 ,所 以 病毒 就 不 能 够 做 到 既 感染 了 文件 
又 不 被 校 验 码 识别 出 来 。 防 止 数 据 被 非法 修改 的 完整 性 检测 技术 参阅 第 10 章 。 

第 三 类 反 病 毒 程序 是 内 存 驻 留 型 程序 ,这 种 程序 根据 病毒 的 行为 ,而 不 是 根据 病毒 的 结 
构 来 识别 病毒 。 这 类 反 病 毒 程序 的 一 个 好 处 是 ,不 再 需要 生成 种 类 繁多 的 病毒 特征 码 或 启 
发 式 规则 来 识别 病毒 。 反 之 ,只 需要 鉴别 系统 运行 时 的 少量 的 一 组 行为 模式 ,这 些 行为 模式 
预示 着 可 能 有 病毒 正在 试图 进行 感染 操作 ,然后 立即 对 其 行为 进行 干预 。 

第 四 类 反 病 毒 产 品 是 综合 运用 了 多 种 不 同 的 反 病 毒 技 术 的 软件 包 或 硬件 设备 ,其 中 包 
括 对 已 知 病毒 特征 的 扫描 ,以 及 对 未 知 病毒 的 主动 的 病毒 陷阱 等 组 件 。 此 外 ,这 样 的 软件 包 
还 包含 对 文件 或 系统 的 访问 控制 功能 ,这 就 限制 了 病毒 对 系统 的 渗透 能 力 ,并 限制 了 病毒 对 
文件 进行 更 改 以 进行 传播 感染 的 能 力 。 

在 第 四 类 反 病 毒 软件 包 中 ,还 包含 了 一 些 防火 墙 功能 等 综合 的 防护 策略 ,从 而 将 防护 范 
围 拓宽 到 更 为 广泛 的 计算 机 安全 领域 ,因此 称 为 “全 功能 安全 防护 软件 ”。 


8.2.2 高 级 反 病毒 技术 


1. 通用 解密 技术 (Generic Decryption) 
通用 解密 技术 (Generic Decryption， GD) 使 得 反 病 毒 软 件 能 够 检测 出 最 复杂 的 多 态 变 
形 病毒 ,同时 又 保证 足够 快 的 扫描 速度 。 当 一 个 含有 多 态 病毒 的 文件 执行 时 ,病毒 必须 首先 
对 自身 进行 解密 之 后 才能 激活 运行 。 为 了 检测 到 这 样 的 病毒 结构 ,可 执行 文件 要 先 经 过 
GD 扫描 器 的 扫描 。GD 扫描 器 包括 如 下 几 个 部 件 : 
。 CPU 仿真 诱饵 : 这 是 一 个 基于 软件 的 虚拟 计算 机 。 可 执行 程序 的 指令 由 CPU 模拟 
器 来 解释 执行 ,而 不 是 由 真正 的 底层 处 理 器 执行 。 虚 拟 机 包含 了 所 有 寄存 器 和 其 他 
处 理 器 硬件 的 软件 模拟 器 ,在 虚拟 机 上 解释 运行 的 程序 不 会 对 底层 的 处 理 器 产生 实 
际 的 影响 。 
。 病毒 特征 码 扫描 器 : 对 系统 内 的 目标 代码 进行 扫描 ,寻找 具有 已 知 病毒 特征 码 的 
模块 。 
。 仿真 诱饵 控制 模块 : 该 模块 控制 目标 代码 的 执行 。 
在 每 次 模拟 计算 机 开始 运行 的 时 候 ,CPU 仿真 机 开始 对 目标 代码 的 指令 进行 一 次 一 条 
地 解释 (Interpreting) ,因此 ,如 果 代 码 中 包含 了 用 于 对 病毒 进行 解密 和 还 原 的 程序 ,那么 该 
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代码 就 被 逐条 解释 。 这 样 处 理 后 ,病毒 代码 是 逐条 逐步 地 暴露 在 反 病 毒 程 序 面前 。 控 制 模 
块 周 期 性 地 中 断 这 个 解释 过 程 , 来 对 目标 代码 进行 扫描, 在 病毒 代码 被 完整 恢复 和 暴露 之 
前 ,就 可 发 现 它 的 特征 码 。 

在 逐 项 代码 解释 的 过 程 中 ,目标 代码 不 会 对 实际 的 计算 机 环境 造成 危害 ,这 是 因为 解释 
工作 是 在 一 个 完全 受 控 的 环境 下 进行 的 。 

设计 GD 扫描 器 最 大 的 难点 在 于 确定 执行 每 个 解释 的 时 间 要 多 长 。 典 型 的 病毒 在 主 程 
序 执行 后 很 快 就 会 激活 ,但 并 不 是 所 有 的 病毒 都 如 此 。 一 般 来 说 ,扫描 一 个 程序 的 模拟 时 间 
越久 ,就 越 有 可 能 发 现 隐 藏 的 病毒 。 但 是 如 果 反 病毒 程序 占据 了 过 多 的 时 间 和 资源 ,又 难免 
会 引起 用 户 的 不 满 。 

2. 病毒 免疫 系统 (Digital Immune System) 

病毒 免疫 系统 最 先是 由 IBM 开发 的 用 于 计算 机 网 络 环境 中 病毒 防护 的 一 种 综合 方案 ， 
目前 已 成 为 基于 互联 网 的 病毒 防护 系统 开发 商 与 客户 服务 之 间 的 运作 模式 。 

从 前 ,新 出 现 的 病毒 和 新 变种 病毒 的 传播 是 比较 缓慢 的 ,而 反 病毒 软件 一 个 月 左右 更 新 
一 次 就 行 了 ,这 对 于 控制 病毒 的 传播 已 经 足够 。 但 近年 来 由 于 互联 网 的 下 述 两 种 技术 的 广 
泛 使 用 ,对 病毒 传播 速度 的 提高 有 越 来 越 大 的 影响 。 

。 电子 邮件 系统 : 早期 的 电子 邮件 系统 只 支持 7 位 ASCII 编码 格式 的 文本 的 传输 ,后 

来 出 现 了 “MIME 多 功能 互联 网 邮件 扩展 "作为 *SMTP 简单 邮件 传输 协议 ?的 功能 
扩展 ,使 得 通过 SMTP 可 以 发 送 非 ASCII 编码 的 数据 ,如 二 进 制 文件 .图 片 .视频 和 
音频 文件 等 。 在 MIME 的 电子 邮件 系统 中 ,可 以 向 任何 人 发 送 程序 ,文档 附件 等 
操作 ,接收 方 收 到 这 些 文件 程序 后 ,立刻 就 可 运行 。 
可 传送 程序 系统 (Mobile-program System) : 诸如 Java 和 Active X 这 些 机 制 的 广泛 
采用 ,允许 程序 自主 地 从 一 个 系统 迁移 到 另外 的 系统 。 例 如 , 当 用 IE 浏览 器 访问 
Web 服务 器 时 ,能 自动 地 将 一 些 Cookie 小 程序 下 载 到 浏览 器 的 Internet 临时 文件 
夹 中 。 参 看 第 6. 4 节 万 维 网 与 Cookie 的 安全 使 用 。 

这 两 类 技术 的 应 用 ,使 病毒 的 传播 有 了 可 乘 之 机 。 为 了 对 付 这 些 基 于 互联 网 的 威胁 ， 
IBM 开发 了 一 个 数字 免疫 系统 的 构架 。 该 系统 建立 在 前 面 提 到 的 软件 计算 机 仿真 器 基础 
上 ,开发 了 一 个 更 为 通用 的 计算 机 仿真 器 和 病毒 检测 系统 。 这 个 系统 的 设计 目标 是 对 病毒 
等 攻击 提供 快速 的 响应 ,以 使 得 病毒 一 进入 系统 就 会 得 到 有 效 的 识别 。 当 新 病毒 进入 某 一 
组 织 部 门 的 网 络 系统 时 ,数字 免疫 系统 能 够 自动 地 对 病毒 进行 捕获 分析 、 检 测 .屏蔽 和 清除 
操作 ,并 能 够 向 运行 IBM 反 病 毒 软件 的 系统 及 时 通报 传递 关于 该 病毒 的 信息 ,从 而 使 得 病 
毒 在 广泛 传播 之 前 就 被 成 功 地 检测 和 控制 。 

图 8.5 是 由 局 域 网 个 人 网 络 用 户 等 构成 的 广域网 ,描述 了 病毒 免疫 系统 运行 的 步骤 
如 下 : 

(1) 在 每 台 网 络 主机 上 安装 运行 一 个 监控 程序 ,该 程序 包含 了 检查 病毒 的 启发 式 规则 ， 
根据 主机 系统 的 行为 表现 程序 运行 的 可 疑 症状 ,或 用 已 知 的 病毒 特征 码 等 知识 来 推断 是 否 
有 病毒 出 现 。 监 控 程 序 可 将 被 怀疑 为 受 感染 的 程序 复制 一 份 发 给 局 域 网 内 的 管理 主机 。 

(2) 局 域 网 管理 机 将 收 到 的 可 疑 程序 样本 进行 加 密 , 使 它 不 能 运行 ,并 将 其 发 送 给 中 央 
病毒 分 析 机 。 

(3) 病毒 分 析 机 创建 了 一 个 可 以 让 受 怀疑 的 感染 程序 受 控 运 行 并 对 其 进行 分 析 的 环 

» 262 “ 


po En 
Ee 
行为 与 结构 | 分 析 机 |-_2 | 管理 主机 9| 客户 机 


1 6 客户 机 
| ES 
of 客户 机 


提出 杀毒 方案 


管理 主机 客户 机 
其 他 私有 网 络 | 客户 机 | | 客户 机 


个 人 用 户 


图 8.5 病毒 免疫 系统 的 工作 原理 


境 。 主 要 应 用 的 技术 包括 一 个 软件 仿真 的 计算 机 及 其 附属 系统 ,构成 一 个 受 控 的 运行 环境 ， 
可 以 边 运 行 边 监控 可 疑 受 感染 程序 。 病 毒 分 析 机 根据 分 析 结 果 产 生 一 个 识别 和 清除 此 病毒 
或 恶意 代码 的 处 理 方案 。 

(4) 病毒 分 析 机 将 处 理 方案 回 传 给 私有 局 域 网 的 管理 机 。 

(5) 管理 机 向 受 感染 的 客户 机 转发 该 处 理 方案 。 

(6) 该 处 理 方案 同时 也 被 转发 给 其 他 局 域 网 内 的 客户 机 。 

(7) 加 入 该 病毒 免疫 系统 的 世界 各 地 的 用 户 会 及 时 收 到 新 病毒 处 理 方案 的 更 新 文件 ， 
防止 其 蔓延 。 

数字 免疫 系统 的 成 功 运行 依赖 于 病毒 分 析 机 对 新 病毒 的 应 变 检测 能 力 , 通 过 不 间断 地 
分 析 和 监测 新 出 现 的 病毒 ,不 断 地 更 新 数字 免疫 软件 ,使 其 与 威胁 的 出 现 保持 同步 。 很 多 商 
用 杀毒 软件 的 工作 模式 与 此 类 似 , 安 装 在 网 络 主机 上 的 杀毒 软件 可 设置 为 当 发 现 可 疑 程序 
后 自动 向 开发 商 发 送 报告 ,同时 可 定期 自动 地 访问 开发 商 网 站 ,下载 和 更 新 本 机 杀毒 软件 的 
病毒 特征 库 以 及 应 对 各 种 恶意 程序 的 处 理 方 案 。 

3. 行为 阻止 软件 (Behavior-Blocking Software) 

与 启发 分 析 式 系统 或 基于 特征 码 的 病毒 扫描 器 不 同 ,行为 阻止 软件 与 主机 的 操作 系统 
结合 起 来 ,实时 监控 恶意 程序 的 异常 行为 。 在 监测 到 恶意 的 程序 行为 之 后 ,行为 阻止 软件 将 
在 恶意 行为 对 主机 系统 产生 危害 之 前 就 终止 这 些 行为 。 行 为 阻止 软件 要 监控 的 计算 机 内 部 
行为 包括 以 下 几 类 : 

。 试图 打开 .浏览 删除、 修改 文件 ; 

。 试图 格式 化 磁盘 或 者 执行 其 他 不 可 恢复 的 磁盘 操作 ; 

。 试图 修改 可 执行 文件 的 运行 逻辑 ,以 及 对 宏 的 脚本 进行 修改 

。 试图 修改 重要 的 计算 机 系统 设置 ,如 启动 设置 等 ; 

。 电 子 邮 件 和 即时 聊天 等 客户 端的 脚本 试图 发 送 可 执行 代码 的 内 容 ; 

。 计算 机 内 自动 地 与 外 网 的 可 疑 主机 建立 连接 通信 (如 木马 等 行为 ) 。 

当 行 为 阻止 软件 检测 到 某 一 程序 在 运行 时 可 能 启动 上 述 某 些 恶意 的 行为 ,就 将 其 及 时 
阻止 ,或 者 终结 该 可 疑 程序 的 运行 。 这 比 上 述 的 病毒 检测 技术 ,如 特征 码 指纹 检查 或 启发 式 
系统 等 ,具有 相当 的 优越 性 。 现 在 有 几 万 种 可 用 于 伪装 和 重 排 病 毒 蠕虫 代码 的 方法 ,其 中 很 
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多 种 方法 可 以 逃避 前 述 特征 码 扫 描 或 启发 式 系统 的 检测 ,最 终 这 些 恶 意 代 码 总 要 向 操作 系 
统 发 出 预先 设计 的 恶意 运行 请 求 。 只 要 行为 阻 断 软件 能 解释 判断 所 有 这 样 的 请 求 ,那么 不 
管 这 些 程序 在 逻辑 上 怎样 伪装 自己 的 行为 . 它 都 能 识别 并 阻截 这 些 恶 意 行径 。 

行为 阻止 软件 可 对 运行 的 软件 进行 实时 监控 ,具有 很 多 优点 ,但 也 有 缺陷 。 因 为 在 恶意 
代码 被 行为 阻 断 软件 检测 到 之 前 , 须 在 目标 机 上 确实 运行 ,这 样 在 被 检测 到 和 阻截 前 ,将 给 
系统 带 来 某 些 损害 。 例 如 , 某 一 新 病毒 可 能 在 感染 单个 文件 和 被 阻截 前 就 先 扰乱 了 硬盘 上 
那些 看 似 不 重要 的 文件 ,后 来 尽管 真正 的 感染 被 阻截 了 ,但 是 很 可 能 就 无 法 找到 自己 的 文 
件 , 导 致 损失 ,甚至 更 严重 。 

某 些 商用 杀毒 软件 和 单机 防火 墙 综合 了 本 节 讨 论 的 各 种 技术 ,因此 称 为 全 功能 安全 防 
护 软件 ”。 


8.3 木马 的 工作 原理 与 检测 防范 


8.3.1 木马 程序 的 工作 原理 


一 般 的 木马 程序 都 包括 客户 端 和 服务 端 两 个 程序 ,在 被 攻击 的 网 络 计算 机 上 安装 的 是 
木马 的 服务 端 程序 , 它 所 做 的 工作 是 要 对 远程 客户 端的 访问 做 出 响应 ,并 执行 客户 端 所 提出 
的 各 种 要 求 。 而 攻击 者 使 用 客户 端 来 远程 控制 被 植 人 木马 的 计算 机 。 因 此 ,攻击 者 首先 将 
木马 的 服务 端 程序 通过 各 种 途径 植 人 被 攻击 的 计算 机 系统 ,然后 通过 客户 端 对 该 系统 进行 
攻击 。 

目前 木马 入 侵 的 主要 途径 是 先 通过 各 种 方法 把 木马 执行 文件 发 送 到 被 攻击 的 计算 机 系 
统 里 ,例如 隐藏 在 电子 邮件 附件 和 各 种 网 络 下 载 软 件 中 。 然 后 诱导 被 攻击 者 打开 执行 文件 ， 
比如 谎 称 这 个 木马 执行 文件 是 朋友 送 的 贺卡 , 当 打 开 这 个 文件 后 ,确实 有 贺卡 的 画面 出 现 ， 
但 这 时 可 能 木马 已 经 悄悄 在 用 户 系 统 的 后 台 运行 了 。 一 般 的 木马 执行 文件 非常 小 ,大 部 分 
都 是 几 KB 到 几 十 KB, 如 果 把 木马 捆绑 到 其 他 正常 文件 上 , 若 不 采用 文件 完整 性 检验 就 很 
难 发 现 。 有 一 些 网 站 提供 的 免费 下 载 软 件 和 图 片 等 常 被 捆绑 了 木马 程序 , 当 用 户 执行 这 些 
下 载 的 软件 时 ,也 同时 运行 了 木马 。 

木马 的 服务 端 软件 也 可 以 通过 Script\ActiveX 及 Asp. CGI 交互 脚本 的 方式 植 入 ,由 于 
微软 的 浏览 器 在 执行 Script 脚本 时 存在 一 些 漏洞 ,攻击 者 可 以 利用 这 些 漏 洞 传播 病毒 和 木 
马 ,甚至 直接 对 浏览 者 的 计算 机 进行 文件 操作 等 控制 。 前 不 久 就 曾经 出 现 了 一 个 利用 微软 
Scripts 脚本 漏洞 对 浏览 者 硬盘 进行 格式 化 的 HTML 页 面 。 如 果 攻 击 者 有 办 法 把 木马 执行 
文件 下 载 到 被 攻击 主机 的 一 个 可 执行 WWW 目录 夹 里 面 , 则 可 以 通过 编制 CGI 程序 在 攻 
击 主机 上 执行 木马 目录 。 此 外 ,木马 还 可 以 利用 系统 的 一 些 漏洞 进行 植 人 ,如 微软 著名 的 
JIS 服务 器 溢出 漏洞 ,通过 一 个 IIS HACK 攻击 程序 即 可 使 IIS 服务 器 崩溃 ,并 且 同 时 攻击 
服务 器 ,执行 远程 木马 控制 文件 。 

当 木 马 服务 端 程序 在 被 感染 的 机 器 上 成 功 运 行 以 后 ,攻击 者 就 可 以 使 客户 端 与 服务 端 
建立 连接 ,并 进一步 控制 被 感染 的 机 器 。 在 客户 端 和 服务 端 通信 协议 的 选择 上 , 绝 大 多 数 木 
马 使 用 的 是 TCP 协议 ,但 是 这 容易 受到 反 向 追踪 ,因此 有 一 些 木 马 使 用 UDP 协议 进行 通 
信 。 当 服务 端 在 被 感染 机 器 上 运行 以 后 ,同时 开放 并 监听 主机 网 络 通信 的 某 个 特定 的 端口 ， 
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等 待 客 户 端 与 该 端口 进行 通信 。 另 外 为 了 下 次 重启 计算 机 时 仍然 能 正常 工作 ,木马 程序 一 
般 会 通过 修改 注册 表 或 者 其 他 的 方法 让 自己 成 为 自 启动 程序 。 


8.3.2 木马 的 种 类 


1. 破坏 型 

它 的 功能 就 是 破坏 并 且 删 除 某 些 特定 类 型 的 文件 ,例如 自动 删除 机 内 的 DLL INI、 
EXE 文件 。 

2. 密码 发 送 型 

可 以 找到 隐藏 密码 ,并 把 它们 发 送 到 指定 的 外 网 主机 。 有 人 喜欢 把 自己 的 各 种 密码 以 
文件 的 形式 存放 在 计算 机 中 ,认为 这 样 方便 :还 有 人 喜欢 用 Windows 提供 的 密码 记忆 功能 ， 
这 样 就 可 以 不 必 每 次 都 输入 密码 了 。 许 多 黑客 软件 可 以 寻找 到 这 些 文件 ,把 它们 发 送 到 黑 
客 手中 。 

需要 注意 的 是 ,不 能 把 重要 的 保密 文件 存在 公用 计算 机 中 。 别 人 可 以 用 穷 举 法 暴力 破 
译 用 户 的 密码 。 利 用 Windows API 函数 Enum Windows 和 Enum Child Windows 对 当前 
运行 的 所 有 程序 的 所 有 窗口 (包括 控件 ) 进 行 遍历 .通过 窗口 标题 查找 密码 输入 和 输出 确认 
重新 输入 窗口 ,通过 按钮 标题 查找 到 应 该 单 击 的 按钮 ,或 通过 ES_PASSWORD 查找 到 需要 
输入 的 密码 窗口 。 向 密码 输入 窗口 发 送 WM_SETTEXT 消息 模拟 输入 密码 ,向 按钮 窗口 
发 送 WM_COMMAND 消息 模拟 单 击 。 在 破解 过 程 中 ,把 密码 保存 在 一 个 文件 中 ,以 便 在 
下 一 个 序列 的 密码 再 次 进行 穷 举 ,或 多 部 机 器 同时 进行 分 工 穷 举 ,直到 找到 密码 为 止 。 此 类 
程序 在 黑客 网 站 上 可 下 载 ,也 可 以 自 编 。 

3. 远程 访问 型 

最 广泛 的 是 特洛伊 木马 ,首先 通过 隐秘 的 渠道 将 木马 的 服务 端 程序 植 人 被 入 侵 的 主机 ， 
服务 端 程序 运行 后 就 利用 SSDP 服务 公告 协议 自动 向 外 网 的 某 段 组 播 IP 地 址 公告 自己 的 
IP 地 址 , 远 端 黑客 知道 了 服务 端的 IP 地 址 ,就 可 以 对 本 地 主机 实现 远程 控制 ,或 获取 本 地 
主机 内 的 信息 。 木 马 的 数据 传输 中 一 般 使 用 用 户 数据 报 协议 (User Datagram Protocol， 
UDP) , 它 是 非 连接 的 传输 层 协 议 ,不 需要 确认 机 制 ,可 靠 性 不 如 TCP ,但 它 的 效率 却 比 TCP 
高 ,例如 用 于 远程 屏幕 监视 ,或 远程 偷盗 数据 。UDP 协议 不 区 分 服务 器 端 和 客户 端 , 只 区 分 
发 送 端 和 接收 端 ,编程 上 较为 简单 。 在 这 样 的 木马 程序 中 用 了 DELPHI 提供 的 TNMUDP 
控件 。 

例如 图 8. 6 的 捕获 数据 样本 。 在 第 一 个 包 中 ,本 地 主机 192. 168.0. 117 自动 利用 SSDP 
服务 公告 协议 向 外 网 组 播 地 址 239. 255. 255. 250 通告 自己 的 IP 地 址 ,目的 端口 1900。 在 
第 二 个 包 中 ,外 网 主机 125. 71. 188. 221 向 本 地 主机 发 来 指令 , 源 端口 1979, 目 的 端口 
15000。 第 三 个 包 以 后 ,本 地 主机 利用 UDP 协议 向 外 网 主机 发 送 大 量 的 数据 包 。 这 是 一 种 


图 8.6 可 疑 的 远程 访问 型 木马 的 网 络 数据 传输 行为 
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可 疑 的 网 络 数据 传输 行为 。 木 马 如 果 利 用 TCP 协议 与 外 部 进行 通信 ,存在 的 风险 是 容易 受 
到 信息 安全 监察 系统 的 反 向 追踪 定位 。 

有 些 程序 可 以 实现 对 远程 受 控 主机 的 监视 与 控制 ,也 可 正当 地 用 在 计算 机 网 络 教室 中 ， 
让 教师 实时 监视 学 生计 算 机 的 操作 等 。 

4. 键盘 记录 木马 

这 种 特洛伊 木马 是 非常 简单 的 ,它们 只 做 一 件 事 情 , 就 是 记录 受害 者 的 键盘 项 击 并 且 在 
LOG 文件 里 查找 密码 。 这 种 特洛伊 木马 一 般 随 着 Windows 的 启动 而 启动 。 有 在 线 和 离线 
记录 两 种 的 选项 ,分 别 记录 用 户 在 线 和 离线 状态 下 项 击 键盘 时 的 按键 情况 。 用 户 按 过 什么 
按键 ,遥控 木马 的 人 都 知道 ,从 这 些 按键 中 很 容易 得 到 用 户 的 密码 和 信用 卡 等 有 用 信息 。 此 
类 型 的 木马 可 自动 用 邮件 将 信息 发 送 给 遥控 者 。 

5. 拒绝 服务 攻击 木马 

实现 拒绝 服务 攻击 (Delay of Service,DoS) 的 方法 有 多 种 ,其 中 一 种 是 被 用 作 DoS 攻击 
的 木马 。 当 黑客 人 侵 了 一 台 主 机 ,并 植 和 人 DoS 攻击 木马 ,那么 这 台 计 算 机 就 成 为 黑客 对 第 
三 方 主机 进行 DoS 攻击 的 工具 了 。 黑 客 控制 的 主机 数量 越 多 ,发 动 DoS 攻击 取得 成 功 的 几 
率 就 越 大 。 所 以 ,这 种 木马 的 危害 不 是 体现 在 被 感染 计算 机 上 ,而 是 体现 在 攻击 者 可 以 利用 
它 来 攻击 第 三 方 的 计算 机 ,给 网 络 安全 造成 很 大 的 伤害 和 损失 ,而且 难于 追踪 到 始作俑者 。 

还 有 一 种 类 似 DoS 的 木马 叫做 邮件 炸弹 木马 ,一旦 主机 被 感染 ,木马 就 会 随机 生成 各 
种 各 样 主题 的 信件 ,对 特定 的 邮箱 不 停 地 发 送 邮 件 , 一 直到 对 方 系统 瘫痪 不 能 接受 邮件 
为 止 。 

6. 代理 木马 

黑客 在 入侵 的 同时 掩盖 自己 的 足迹 ,谨防 别人 发 现 自己 的 身份 是 非常 重要 的 。 因 此 ,给 被 
控制 的 主机 植 入 代理 木马 ,让 其 变 成 攻击 者 发 动 攻击 的 跳板 就 是 代理 木马 最 重要 的 任务 。 通 
过 代理 木马 ,攻击 者 可 以 在 匿名 的 情况 下 使 用 Telnet ICQ IRC 等 程序 ,从 而 隐蔽 自己 的 踪迹 。 

7. FTP 木马 

这 种 木马 可 能 是 最 简单 和 古老 的 木马 , 它 的 唯一 功能 就 是 打开 FTP 文件 传输 协议 的 控 
制 连接 端口 21 ,等待 远 端 用 户 连接 。 现 在 的 新 FTP 木马 还 加 上 了 密码 功能 ,这 样 ,只 有 攻 
击 者 本 人 才 知 道 正确 的 密码 ,从 而 进入 对 方 计算 机 ,参看 第 6 章 。 

8. 程序 杀手 木马 

上 面 介 绍 的 木马 功能 虽然 形形色色 ,但 是 植 人 对 方 主机 后 要 运行 ,还 要 通过 防 木马 软件 
的 检测 。 常 见 的 防 木马 软件 有 Zone Alarm,Norton Anti-Virus 等 。 程 序 杀手 木马 就 是 企 
图 关闭 受害 方 计 算 机 上 运行 的 这 类 防护 程序 ,让 其 他 的 木马 更 顺利 地 发 挥 作用 。 

9. 反弹 端口 型 木马 

木马 开发 者 在 分 析 了 防火 墙 的 特性 后 ,发 现 有 些 防火 墙 对 于 接 入 的 链接 往往 会 进行 非 
常 严 格 的 过 滤 ,但 是 对 于 连 出 的 链接 却 疏 于 防范 。 于 是 ,与 一 般 的 木马 相反 ,反弹 端口 型 木 
马 的 服务 端 ( 被 控制 端 ) 使 用 主动 端口 ,在 客户 端 (控制 端 ) 使 用 被 动 端口 。 木 马 定时 监测 控 
制 端的 存在 , 当 发 现 控 制 端 上 线 后 ,立即 主动 连接 控制 端 打开 的 主动 端口 。 为 了 隐蔽 起 见 ， 
控制 端的 被 动 端口 一 般 开 在 80, 即 使 用 户 使 用 扫描 软件 检查 自己 的 端口 ,发现 类 似 TCP 
User ID:1026 Controller ID:80 ESTABLISHED 的 情况 .稍微 玻 忽 ,就 会 以 为 是 自己 在 浏 
览 网 页 。 
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8.3.3 被 木马 入 侵 后 出 现 的 症状 


对 于 一 些 常见 的 木马 ,如 SUB7(Sub seven) .BO2000 .冰河 等 ,都 是 采用 打开 TCP 端口 
监听 和 写 和 注册 表 启 动 等 方式 工作 ,使 用 木马 克星 之 类 的 软件 可 以 检测 到 这 些 木 马 。 这 些 
检测 木马 的 软件 大 多 都 是 利用 检测 TCP 连接 、 注 册 表 等 信息 来 判断 是 否 有 木马 入 侵 , 因 此 
也 可 以 通过 手工 来 侦 测 木马 。 

不 少 用 户 对 硬盘 空间 莫名 其 妙 地 减少 了 500MB 感到 习以为常 ,这 种 现象 常 被 人 们 所 忽 
略 , 因 为 Windows 的 临时 文件 和 各 种 各 样 的 游戏 等 程序 会 吞噬 大 量 的 硬盘 空间 。 可 是 ,还 
是 有 一 些 现象 应 该 让 用 户 感到 警觉 ,一 旦 觉得 自己 的 计算 机 感染 了 木马 ,就 应 该 马上 用 杀毒 
软件 检查 一 下 自己 的 计算 机 ,然后 不 管 结果 如 何 , 就 算是 Norton 等 杀毒 软件 已 经 告知 该 机 
器 没有 木马 ,也 应 该 再 亲自 作 一 次 更 深入 的 调查 ,确保 自己 网 络 计算 机 的 安全 。 经 常 关 注 最 
新 通告 的 木马 特性 的 报告 ,以 及 注意 下 述 症 状 的 出 现 ,这 对 诊断 自己 的 计算 机 具有 一 定 
帮助 : 

(1) 如 果 根 本 没有 打开 浏览 器 ,而 浏览 器 突然 自动 打开 并 链接 某 个 网 站 。 或 者 计算 机 
的 网 络 端口 数据 监测 发 现 ,本 机 会 主动 对 外 网 发 送 数 据 , 并 启动 远程 会 话 进程 ,那么 就 要 
小 心 。 

(2) 正在 操作 计算 机 时 ,突然 弹出 一 个 警告 框 或 者 询问 框 , 问 一 些 奇怪 的 问题 。 

(3) Windows 系统 配置 自动 地 被 更 改 。 比 如 屏幕 保护 时 显示 的 文字 ,时 间 和 日 期 ,声音 
大 小 ,鼠标 灵敏 度 , 还 有 CD-ROM 的 自动 运行 配置 等 。 

(4) 硬盘 经 常 无 缘 无 故地 读 盘 ,软驱 灯 经 常 自己 亮 起 ,网 络 连接 及 鼠标 屏幕 出 现 异 常 现 
象 。 可 监测 到 每 当 计 算 机 接 人 网 络 后 ,会 自动 向 外 网 某 个 IP 地 址 发 送 大 量 的 数据 包 。 

(5) 在 自己 的 计算 机 桌面 上 不 知 什么 时 候 出 现 了 新 的 “桌面 快捷 方式 ”图标 , 单 击 此 图 
标 后 自动 执行 某 些 意外 的 功能 。 例 如 : 在 计算 机 桌面 上 出 现 了 多 个 下 浏览 器 的 快捷 图 标 ， 
当 单 击 其 中 一 个 图 标 后 ,IE 浏览 器 主动 打开 的 首页 是 某 个 意外 的 网 站 ,而 不 是 自己 在 浏览 
器 中 设 定 的 “默认 首页 ”。 


8.3.4 木马 常用 的 启动 方式 及 检测 
启 


大 多 数 木马 具备 自 启动 功能 ,这 样 可 以 保证 木马 不 会 因为 用 户 的 一 次 关机 操作 而 彻底 
失去 作用 。 所 以 ,很 多 编程 人 员 都 在 不 停 地 研究 和 探索 新 的 自 启动 技术 ,并 且 时 常 有 新 的 发 
现 。 一 个 典型 的 例子 就 是 把 木马 加 入 到 用 户 经 常 使 用 的 程序 中 ,例如 IE 浏览 器 等 , 当 用 户 
执行 该 程序 时 ,木马 就 自动 发 生 作 用 。 更 加 普遍 的 方法 是 通过 修改 Windows 系统 文件 和 注 
册 表 来 达到 目的 ,主要 有 以 下 几 种 : 

1. 检查 WIN. INI 和 SYSTEM. INI 中 的 启动 项 

进入 Windows XP 的 计算 机 系统 配置 程序 的 方法 是 : 单 击 Windows XP 桌面 的 “开始 ” 
一 “运行 ”选项 ,在 “打开 ”窗口 中 输入 msconfig, 即 可 进入 “系统 配置 实用 程序 ”界面 ,如 图 8. 
7 所 示 。 查 看 WIN. INI 和 SYSTEM. INI 系统 配置 文件 ,检查 其 中 是 否 有 被 修改 过 的 地 方 。 

例如 ,有 的 木马 通过 修改 WIN. INI 文件 中 Windows 节 的 “load 二 file. exe, run 二 file. exe” 
语句 进行 自动 加 载 ,注意 ,这 个 file. exe 很 可 能 是 木马 项 。 此 外 可 以 修改 SYSTEM. INI 中 
的 boot 节 来 实现 木马 加 载 。 例 如 ,“ 妖 之 吻 ” 病 毒 ,将 “Shell 二 Explorer. exe”(Windows 系统 
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系统 配置 实用 程序 


一 般 [srsrem, DJ wTw_ TT 上 BooT. TT 上 服务 [启动 ] 工 具 | 
局 动 连 择 


〇 正 党 启动 - 加 载 所 有 设备 驱动 程序 和 服务 如 
加 论断 牛 动 - 避 加 载 基 本 设备 驱动 程序 和 服务 @) 
回 有 选择 的 启动 G) 

加 处 理 SrsTE_TII 文件 四 


加 处 理 WTH._TNT 文件 中 

回 加 载 系统 服务 忆 ) | 

回 加 载 局 动 项 Q) | 

鲜 使 用 原 有 Bo0T. INT 使 用 修改 过 的 B00T. INT | 
| 
| 
| 


开始 系统 还 原 C) 。 | [展开 文件 四 ， 


图 8.7 检查 计算 机 系统 配置 实用 程序 中 的 可 疑 项 


的 图 形 界面 命令 解释 器 ) 修 改 成 “Shell== yzw. exe”, 在 计算 机 每 次 启动 后 就 自动 运行 程序 
yzw. exe。 修 改 的 方法 是 将 “shell 二 yzw. exe” 还 原 为 “shell 二 explorer. exe” 即 可 。 

SYSTEM. INI 位 于 Windows 的 安装 上 日 录 下 ,其 [boot] 字 段 的 shell 王 explorer. exe 是 
木马 常用 的 隐藏 加 载 之 处 ,通常 的 做 法 是 将 该 字段 变 为 : shell 二 explorer. exe file. exe。 注 
意 这 里 的 file. exe 就 是 木马 服务 端 程序 。 另 外 ,在 SYSTEM. INI 中 的 [mic].[Ldrivers]、 
[drivers32] 这 3 个 字段 ,也 是 起 到 加 载 驱动 程序 的 作用 ,但 也 是 增添 木马 程序 的 好 场所 。 

在 SYSTEM. INI 中 的 [386Enhj] 字 段 ,要 注意 检查 在 此 段 内 的 “driver 二 路 径 \ 程 序 名 ”。 
这 里 也 有 可 能 被 木马 所 利用 。 

2. 检查 注册 表 中 加 载运 行 的 项 目 

木马 一 旦 被 加 载 ,一般 都 会 对 注册 表 进 行 修改 ,应 当 经 常 检查 有 何 异 常 程序 在 其 中 。 检 
查 注 册 表 的 方法 是 : 单 击 Windows XP 桌面 的 “开始 ”运行 ?选项 ,在 "打开 ?窗口 中 输入 
regedit, 即 可 进入 注册 表 编 辑 器 。 

木马 在 注册 表 中 实现 加 载 的 文件 一 般 是 在 以 Run 开头 的 键 值 名 处 ,文件 路 径 如 下 : 


HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 

HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 

HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 
HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run 

HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 

HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\RunServices 


此 外 ,在 注册 表 中 的 HKEY_CLASSES_ROOT\exefile\shell\open\command 二 ""%1" 

% x "处 ,如 果 其 中 的 *%1” 被 修改 为 木马 ,那么 每 次 启动 该 可 执行 文件 时 ,木马 就 会 启动 一 

次 。 如 著名 的 冰河 木马 就 是 将 TXT 文件 的 Notepad. exe 改 成 了 它 自 己 的 启动 文件 ,每 次 

打开 记事 本 时 就 会 自动 启动 冰河 木马 ,做 得 非常 隐蔽 。 还 有 “ 广 外 女生 ”木马 就 是 在 HKEY_ 

CLASSES_ROOT\exefile\shell\open\command 二 ""%1"% x "处 将 其 默认 键 值 改 成 ""%1"% 

x", 并 在 HKEY _ LOCAL MACHINE\\ Software\ Microsoft \ Windows\ CurrentVersion \ 
»。 268 。 


RunServices 添加 了 名 称 为 Diagnostic Configuration 的 键 值 。 
如 果 在 上 述 目录 中 的 所 有 以 Run 开头 的 键 值 名 下 有 可 疑 的 文件 名 ,就 需要 删除 相应 的 
键 值 , 再 删除 相应 的 应 用 程序 。 如 图 8. 8 所 示 , 删 除 发 现 的 木马 的 注册 项 目 。 
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图 8.8 在 注册 表 编 辑 器 中 删除 木马 的 注册 项 目 


3. 在 Autoexec. bat 和 Config. sys 中 加 载运 行 

在 C 盘 根 目录 下 的 这 两 个 文件 也 可 以 启动 木马 。 但 这 种 加 载 方式 一 般 都 需要 控制 端 
用 户 与 服务 端 建立 连接 后 ,将 已 添加 木马 启动 命令 的 同名 文件 上 传 到 服务 端 覆盖 这 两 个 文 
件 才 行 ,而 且 采 用 这 种 方式 不 是 很 隐蔽 。 容 易 被 发 现 , 所 以 在 Autoexec. bat 和 Config. sys 
中 加 载 木 马 程序 的 较 少 。 

4. 在 Winstart. bat 中 启动 

Winstart. bat 是 一 个 能 自动 被 Windows 加 载运 行 的 文件 。 多 数 情况 下 由 应 用 程序 及 
Windows 自动 生成 ,在 执行 了 Windows 自动 生成 ,执行 了 Win. com 并 加 载 了 多 数 驱 动 程 
序 之 后 开始 执行 ,这 一 点 可 通过 启动 时 按 F8 键 ,再 选择 逐步 跟踪 启动 过 程 的 启动 方式 可 得 
知 。 由 于 Autoexec. bat 的 功能 可 以 由 Winstart. bat 代替 完成 ,因此 木马 完全 可 以 像 在 
Autoexec. bat 中 那样 被 加 载运 行 。 

5. 检查 启动 组 

如 果木 马 自 动 加 载 的 文件 是 直接 通过 在 Windows 菜单 上 自 定义 添加 的 ,一般 都 会 放 在 
主 菜 单 的 “开始 ”一 “程序 ”>“ 启 动 ”处 ,在 资源 管理 器 里 的 位 置 是 C:\windows\start menu\ 
programsNstartup。 木 马 如 果 隐 藏 在 启动 组 中 虽然 不 是 十 分 隐蔽 ,但 这 里 可 自动 加 载运 行 。 
启动 组 在 注册 表 中 的 位 置 ; 


HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 
HKEY CURRENT _ USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User 
Shell Folders 

HKEY_ LOCAL MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User 
Shell Folders 

HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 


检查 是 否 有 可 疑 的 启动 程序 , 便 很 容易 查 到 是 否 中 了 木马 。 

6. 修改 文件 关联 

修改 文件 关联 是 木马 常用 手段 ,例如 ,正常 情况 下 TXT 文件 的 打开 方式 为 Notepad. exe 
文件 ,但 一 旦 中 了 文件 关联 木马 , 则 TXT 文件 打开 方式 就 会 被 修改 为 用 木马 程序 打开 ,如 
著名 的 国产 木马 冰河 就 是 这 样 做 的 。“ 冰 河 ” 通 过 修改 HKEY_CLASSES_ROOT\txtfile\ 
shell\open\command 下 的 键 值 .C:\WINDOWS\NOTEPAD. EXE 本 应 用 Notepad 打开 ， 
如 著名 的 国产 HKEY-CLASSES-ROOT\ txtfile \ shell \ open \ command 的 键 值 ,将 
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"C:\WINDOWS\NOTEPAD. EXE%1" 改 为 "C:\WINDOWS\SYSTEM\SYSEXPLR. 
EXE%1"。 这 样 ,一 旦 用 户 双 击 一 个 TXT 文件 ,原本 应 用 Notepad 打开 该 文件 ,现在 却 变 成 
启动 木马 程序 了 。 不 仅仅 是 TXT 文件 ,其 他 诸如 HTM、EXE、ZIP、COM 等 都 是 木马 的 
目标 。 

对 这 类 木马 ,只 能 经 常 检查 HKEY_C\shell\open\command 主键 ,查看 其 键 值 是 否 
正常 。 

7. 捆绑 文件 

实现 这 种 触发 条 件 ,首先 要 控制 端 和 服务 端 已 通过 木马 建立 连接 ,然后 控制 端 用 户 用 
“软件 捆绑 工具 ”将 木马 文件 和 某 一 应 用 程序 捆绑 在 一 起 ,再 上 传 到 服务 端 覆 盖 源 文件 。 这 
样 即使 木马 被 删除 了 ,只 要 运行 捆绑 了 木马 的 应 用 程序 ,木马 又 会 安装 上 去 。 绑 定 到 某 一 应 
用 程序 中 ,如 绑 定 到 系统 文件 ,那么 每 一 次 Windows 启动 均 会 启动 木马 。 

8. 反弹 端口 型 木马 的 主动 连接 方式 

反弹 端口 型 木马 与 一 般 的 木马 相反 ,其 服务 端 (被 控制 端 ) 主 动 与 客户 端 ( 控 制 端 ) 建 立 
连接 ,并 且 监 听 端 口 一 般 用 80 ,所 以 如 果 没 有 合适 的 工具 与 丰富 的 经 验 , 较 难 防 范 。 这 类 木 
马 的 典型 代表 就 是 “网 络 神偷 ”。 由 于 这 类 木马 仍然 要 在 注册 表 中 建立 键 值 ,通过 查看 注册 
表 的 变化 就 不 难 查 到 它们 。 一 些 单机 版 的 防火 墙 软件 (如 瑞星 等 ), 当 本 机 自动 地 对 外 网 发 
出 连接 请 求 时 ,防火 墙 就 会 提出 警告 ,因此 只 要 留意 也 可 在 “网 络 神偷 ”服务 端 进行 主动 连接 
时 发 现 它 。 


8.3.5 木马 的 隐藏 与 检测 方法 


1. 在 任务 管理 器 里 隐藏 

要 查看 本 机 正在 运行 的 进程 , 按 Ctrl 十 Alt 十 Del 组 合 键 时 出 现 “ 任 务 管理 器 ”, 进 入 “ 进 
程 ”栏目 ,显示 出 当前 计算 机 正在 运行 的 进程 列表 。 木 马 一 般 都 会 设法 不 让 自己 出 现在 进程 
匡 = 列表 中 ,通过 编程 很 容易 实现 此 目的 ,例如 在 
EEC VB 中 ,只 要 把 form 的 Visible 属性 设置 为 
条 | 这 得 ”| 志 好 -了 ITRP False, Show In Task Bar 设 为 False, 程 序 就 


| 不 会 出 现在 任务 栏 里 了 。 

名 总 二 如 果 在 本 机 运行 的 进程 列表 中 发 现 有 隔 
BE 生 的 程序 ,就 应 当 设法 判断 其 真实 性 质 。 有 
名 这 各: 因 |。 些 木马 把 自己 在 “进程 "中 的 “映像 名 称 ” 设 为 
A 与 系统 文件 名 十 分 相似 (例如 , 仅 将 系统 文件 
名 中 的 某 个 小 写字 母 改 为 大 写 ,作为 木马 在 
员 全 事主 进程 列表 中 的 “映像 名 称 ”) ,或 将 “用 户 名 ” 设 


为 “SYSTEM”" 就 可 轻松 地 骗 过 不 仔细 查看 
es Ei 的 用 户 。 图 8.9 所 示 为 在 进程 列表 中 出 现 的 
图 8.9 在 进程 列表 中 出 现 的 “QQ 密码 记录 "木马 “QQ 密码 记录 . exe" 木 马 ,这 样 的 名 称 很 容 
易 被 识别 。 
2. 开放 端口 检测 
传输 层 使 用 的 端口 号 范围 是 0 一 65535( 见 第 4 章 ) ,木马 一 般 用 TCP 或 UDP 协议 进行 
wt 


客户 端 /服务 器 (Client/Server) 之 间 的 通信 。 因 此 可 以 通过 查看 本 机 开放 端口 的 清单 ,来 检 
测 是 否 有 可 疑 的 程序 打开 了 某 个 可 疑 的 连接 端口 。 例 如 ,木马 冰河 使 用 的 监听 端口 是 
7626 ,而 Back Orifice 2000 使 用 的 监听 端口 是 54320 等 。 假 如 查看 到 有 可 疑 的 程序 在 利用 
可 疑 端口 与 远程 主机 进行 连接 , 则 很 有 可 能 就 是 木马 在 通信 。 

查看 端口 的 方法 有 几 种 ,最 方便 的 是 使 用 “Windows 命令 提示 符 ” 界 面 上 的 netstat -an 命 
令 ,检查 本 机 的 当前 联网 状态 。 例 如 ,在 图 8. 10 所 示 的 计算 机 网 络 连接 状态 中 ,有 几 项 的 本 
地 端口 与 远程 主机 的 连接 端口 都 大 于 1024, 对 这 种 双方 都 是 高 端口 的 TCP 连接 或 UDP 开 
放 端 口 ,应 当 核查 其 真实 用 途 ( 图 中 远 端 主机 的 8000 端口 是 腾讯 QQ) 。 这 种 检查 方法 的 缺 
点 是 只 能 实时 显示 当时 的 网 络 连接 状态 ,不 能 检查 那些 曾经 发 生 过 ,但 已 断 开 了 的 连接 。 
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图 8. 10 本 机 端口 与 外 机 端口 都 大 于 1024 的 TCP 连接 


另外 的 方法 是 使 用 图 形 化 界面 工具 ,例如 Active Ports, 这 个 工具 可 以 监视 到 主机 所 有 
打开 的 TCP/UDP 端口 ,还 可 以 显示 所 有 端口 对 应 的 程序 所 在 的 路 径 , 本 地 IP 与 试图 连接 
用 户 的 远 端 主机 JP, 是否 正 在 活动 。 这 个 工具 适用 于 Windows NT/2000/XP 平台 。 

3. 隐秘 通信 

隐秘 通信 也 是 木马 经 常 采用 的 手段 之 一 。 任 何 木 马 运行 后 都 要 与 攻击 者 进行 TCP 通 
信和 连接 ,或 者 通过 UDP 即时 通信 ,利用 网 络 数 据 捕获 分 析 的 方法 可 发 现 这 种 通信 行为 。 例 
如 ,攻击 者 使 用 客户 端 程序 直接 连接 被 植 入 木马 服务 端的 主机 ,或 者 通过 间接 通信 ,利用 电 
子 邮 件 的 方式 ,木马 把 侵入 主机 的 敏感 信息 发 送 给 攻击 者 。 现 在 大 部 分 木马 一 般 在 占领 主 
机 后 会 打开 1024 以 上 不 易 发 现 的 高 端口 ,有 一 些 木马 会 选择 一 些 常用 的 端口 ,如 80、23 等 ， 
有 一 种 非常 先进 的 木马 还 可 以 做 到 在 占领 80 HTTP 端口 后 , 收 到 正常 的 HTTP 请 求 仍然 
把 它 交 给 Web 服务 器 处 理 , 只 有 收 到 一 些 特殊 约定 的 数据 包 后 , 才 调 用 木马 程序 。 

4. 隐藏 加 载 方式 

木马 加 载 的 方式 可 以 是 各 种 各 样 ,但 都 为 了 达到 一 个 共同 的 目的 , 那 就 是 诱惑 用 户 运 行 
木马 的 服务 端 程序 。 而 随 着 网 站 互动 化 进程 的 不 断 丰 富 , 越 来 越 多 的 网 络 应 用 可 以 成 为 森 
马 的 传播 介质 ,Java Script、VBScript、Active X、. XLM 等 ,几乎 WWW 的 每 一 个 新 功能 部 
会 让 木马 的 传播 有 可 乘 之 机 。 

5. 最 新 隐身 技术 

在 Windows 9x 系统 中 ,将 木马 简单 地 注册 为 系统 进程 就 可 以 从 任务 栏 中 消失 。 可 是 
在 Windows 2000 以 上 的 版 本 ,木马 注册 为 系统 进程 不 仅 能 在 任务 栏 中 看 到 ,而 且 可 单 击 
“结束 进程 ”直接 停止 其 运行 。 在 Windows NT 中 ,Administrator 是 可 以 看 见 所 有 进程 的 。 
在 研究 了 其 他 软件 的 长 处 之 后 ,木马 发 现 Windows 下 的 中 文 汉化 软件 采用 的 陷阱 技术 非常 
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适合 被 木马 利用 。 

这 是 一 种 较 新 的 隐蔽 方法 。 通 过 修改 虚拟 设备 驱动 程序 (VXD) 或 修改 动态 数据 库 
CDLL) 来 加 载 木 马 。 这 种 方法 与 一 般 方法 不 同 , 基 本 上 摆脱 了 原 有 的 木马 模式 和 监听 端口 ， 
而 采用 替代 系统 功能 的 方法 (改写 vxd 或 DLL 文件 ) ,木马 会 将 修改 后 的 DLL 替换 掉 系 统 
已 知 的 DLL, 并 对 所 有 的 函数 调用 进行 过 滤 。 对 于 常用 的 调用 ,使 用 函数 转发 器 直接 转发 
给 被 替换 的 系统 DLL, 并 执行 一 些 相应 的 操作 。 在 事先 约定 好 的 特种 情况 下 ,木马 一 般 只 
是 使 用 DLL 进行 监听 ,一 旦 发 现 有 来 自 外 网 的 控制 端 请 求 就 激活 自身 , 它 绑 在 一 个 进程 上 
进行 操作 。 这 样 做 的 好 处 是 没有 增加 新 的 文件 ,不 需要 打开 新 的 端口 ,没有 新 的 进程 ,使 用 
常规 的 方法 监测 不 到 它 。 在 木马 正常 运行 时 ,计算 机 几乎 没有 任何 异常 症状 , 且 木 马 的 控制 
端 向 被 控 端 发 出 特定 的 信息 后 ,隐藏 的 程序 就 立即 开始 运作 。 

6. 木马 的 防范 

在 检测 清除 木马 的 同时 ,还 要 注意 对 木马 的 预防 ,做 到 防范 于 未 然 。 

(1) 不 要 随意 打开 来 历 不 明 的 邮件 ,现在 许多 木马 都 是 通过 电子 邮件 附件 来 传播 的 , 当 
收 到 来 历 不 明 的 邮件 时 ,不 要 打开 ,应 尽快 删除 。 并 加 强 邮 件 监控 系统 , 拒 收 垃圾 邮件 。 

(2) 不 要 随意 下 载 来 历 不 明 的 软件 ,最 好 是 在 一 些 知名 的 网 站 下 载 软件 ,并 且 下 载 后 利 
用 网 站 提供 的 完整 性 校 验 码 与 下 载 软件 的 校 验 码 进行 比较 ,判断 其 完整 性 ,例如 MD5 和 
SHA-1 等 校 验 码 。 

(3) 及 时 修补 系统 漏洞 和 关闭 可 疑 的 端口 .一般 木马 都 是 通过 漏洞 在 系统 上 打开 端口 
留 下 后 门 ,以便 上 传 木马 文件 和 执行 代码 ,在 把 漏洞 修补 上 的 同时 ,需要 对 端口 进行 检查 , 通 
过 瑞星 等 单机 防火 墙 的 端口 开关 ,把 可 疑 的 端口 关闭 。 

(4) 尽量 不 通过 网 络 使 用 共享 文件 夹 ,如 果 必 须 使 用 共享 文件 夹 , 则 最 好 对 打开 该 文件 
夹 时 设置 密码 保护 。 不 要 将 系统 目录 设置 成 共享 ,并 将 系统 下 默认 共享 的 目录 关闭 。 

(5) 运行 实时 监控 程序 ,在 上 网 时 最 好 运行 反 木 马 实时 监控 程序 和 个 人 防火 墙 ,并 定时 
对 系统 进行 病毒 检查 。 

(6) 经 常 升级 系统 和 更 新 病毒 特征 库 , 经 常 关注 厂商 网 站 的 安全 公告 ,这 些 网 站 通常 都 
会 及 时 地 将 漏洞 .木马 和 更 新 公布 出 来 ,并 第 一 时 间 发 布 补丁 和 新 的 病毒 样本 库 等 。 

7. 被 木马 感染 后 的 紧急 措施 

如 果 计 算 机 已 经 被 木马 植 信 了 ,用 户 的 系统 文件 被 黑客 改 得 一 塌 糊 涂 ,硬盘 上 多 出 来 一 
大 堆 混 乱 的 文件 ,很 多 重要 的 数据 也 可 能 已 被 黑客 窃取 。 可 参考 如 下 3 条 建议 : 

(1) 所 有 的 账号 和 密码 都 要 马上 更 改 ,例如 拨号 连接 ICQ、QQ、FTP、 用 户 的 个 人 站 
点 ,免费 邮箱 等 。 凡 是 需要 密码 的 地 方 , 都 要 把 密码 尽快 改换 掉 。 

(2) 删 掉 所 有 硬盘 上 原来 没有 的 东西 。 

(3) 用 杀毒 软件 全 面 检查 一 次 硬盘 上 是 否 有 病毒 存在 。 


8.4 特洛伊 木马 人 侵 后 的 网 络 数据 分 析 案 例 


此 部 分 介绍 木马 网 络 数据 分 析 案 例 。 木 马 数据 样本 使 用 Honeynet Research Alliance 
研究 联盟 在 “每 月 挑战 ?项 目 中 提供 的 Scan2. log 日 志 程 序 作为 例子 。 也 使 用 在 实验 室 环境 
中 开发 的 后 门 木马 运行 时 的 捕获 包 数 据 , 文 件 名 为 subseven_log 和 netbus_log。 

ww 二 


8.4.1 木马 SubSeven Legend 


木马 软件 SubSeven Legend 也 称 为 SubSeven, 是 最 普通 的 Windows 后 门 特洛伊 木马 
之 一 。 它 是 一 个 较 老 的 程序 ,很 多 反 病 毒 软 件 都 可 以 检测 到 它 , 但 是 在 互联 网 上 仍 有 很 多 它 
的 变形 在 流通 。SubSeven 很 聪明 ,可 从 受 感染 的 主机 内 ,通过 互联 网 聊天 室 ,电子 邮件 或 者 
其 他 方法 通知 外 部 的 和 人 侵 者 ,告知 受 感染 的 主机 已 经 在 线 。 运 行 于 TCP 的 连接 ,默认 端口 
是 27374, 但 此 端口 是 可 更 换 的 。SubSeven 有 很 多 特性 ,可 以 让 入 侵 者 完全 控制 目标 主机 。 

图 8.11 是 在 实验 室 网 络 中 捕获 的 一 组 数据 ,是 木马 SubSeven Legend 工作 时 ,客户 / 服 
务 器 之 间 交 互 的 数据 包 。SubSeven Legend 是 SubSeven 发 布 周年 后 的 版 本 。 入 侵 者 运行 
的 客户 端 在 192. 168. 1. 1, 它 连接 到 已 被 木马 侵入 的 服务 端 是 192. 168. 1. 200。 可 看 出 服务 
器 开放 的 默认 端口 是 27374, 客 户 使 用 的 临时 端口 是 1096 ,数据 在 客户 与 服务 器 之 间 协 商 交 
换 。 双 方 的 TCP 连接 端口 都 大 于 1024。 


192.168.1.200 192.168,1.1 TCP 27374 > 1096 [sYN， ACK] Seq-1444587541 
192,168,1,1 192,168,1,200 TCP 1096 > 27374 [ACK] Seq=644505893 Ack=1 
192.168.1.200 192.168.1.1 TCP 27374 > 1096 [PSH，ACK] Seqe1444587542 
192.168.1.1 192.168.1.200 TCP 1096 > 27374 [ACK] Seq=644505893 Ack=l. 
192.168.1.1 192.168.1.200 TCP 1096 > 27374 [PSH, ACK] Seq=644505893 
192.168.1.200 192.168.1.1 TCP 27374 > 1096 [PSH, ACK] Seq=1444587603 
192.168.1.1 192.168,1.200 TCP 1096 > 27374 [ACK] Seq=644505898 Ack=1 
192.168.1.200 192.168.1.1 TCP 27374 > 1096 [PSH，ACK] Seq=1444587611 
192,168,1,1 192.168,1,200 TCP 1096 > 27374 [ACK] Seq=644505898 Ack=1 
192.168.1.1 192.168,1.200 TCP 1096 > 27374 [PSH，ACK] Seq=644505898 
192.168.1.200 192.168.1.1 TP 27374 > 1096 [PSH, ACK] Seq=1444588020 
192.168.1.1 192.168.1.200 TcP 1096 > 27374 [ACK] Seq=644505914 Ack=l. 
192.168.1.200 192.168.1.1 TCP 27374 > 1096 [PSH, ACK] Seq=1444588028 
192.168.1.1 192.168.1.200 TCP 1096 > 27374 ett Seq=644505914 Ack=l. 
192.168.1.1 192.168.1.200 TCP 1096 > 27374 [FIN，ACK] 5eqw644505914 
17 21,741229 192.168.1.200 192.168.1.1 TCP 27374 > 1096 [ACK] Seq=1444588178 Ackw 


Frame 1 (52 bytes on wire, 62 bytes captured) 
Ethernet II, Src: 00:03:47:8b:e6:e2, Dst: 00:02:b3:06:5f:5a 

Internet protocol, src Addr: 192.168.1.1 (192.168.1.1), Dst Addr: 192.168,1.200 (192.168.1.200) 
Transmission Control Protocol, Src Port: 1096 (1096), Dst Port: 27374 (27374), seq: 644505892, Ack: 0, Len: 


图 8.11 SubSeven Legend 后 门 特洛伊 木马 工作 时 的 网 络 数据 流 分 析 


利用 Wireshark 的 “跟踪 TCP 数据 流 ” 的 功能 ( 见 第 7 章 ), 可 以 看 到 SubSeven 的 服务 
器 与 客户 之 间 的 数据 交互 活动 ,如 图 8.12 所 示 , 其 中 第 一 行 展 示 了 连接 日 期 和 时 间 , 以 及 木 
马 SubSeven 服务 器 的 版 本 号 。 然 后 ,可 看 出 人 侵 者 运行 并 列 出 了 服务 器 上 的 C:\ 的 上 日 录 清 
单 ,并 且 下 载 了 机 密 文 件 secret. txt( 倒 数 第 3 行 )。 从 最 后 两 行 可 看 出 ,这 个 文件 内 的 数据 
是 已 经 被 主人 加 密 了 的 。 即 人 侵 者 虽然 得 到 了 此 机 密 文件 .但 是 内 容 事先 被 警惕 性 高 的 主 
人 加 密 了 。 关 于 数据 加 密 的 方法 参看 第 10 章 。 


8.4.2 后 门 木马 NetBus 


NetBus 后 门 木马 也 是 较 老 的 一 种 Windows 后 门 特洛伊 木马 。 用 反 病 毒 软件 很 容易 检 
测 到 它 ,但 是 就 像 SubSeven 一 样 ,网 络 上 仍 存 在 很 多 它 的 变形 。 它 的 运行 是 通过 TCP 的 连 
接 进行 的 ,默认 端口 是 12345 和 12346 ,但 是 可 重新 配置 。 可 通过 各 种 方法 让 远 端 人 侵 者 完 
全 控制 受害 主机 。 

图 8.13 是 NetBus 木马 的 客户 /服务 器 交互 过 程 的 捕获 数据 样本 。 入 侵 者 运行 的 客户 

= 273 。 


全 Contents ofTCP stream 


SX NM 


图 8.12 木马 SubSeven 客户 /服务 端 之 间 的 TCP 数据 流 交互 跟踪 


端 在 192. 168. 1. 1 ,连接 到 植 人 了 木马 服务 端 程序 的 主机 192. 168. 1. 200。 可 看 出 服务 器 的 
默认 端口 是 12345 和 12346 ,数据 在 客户 与 服务 器 之 间 交 互 传输 。 这 两 个 不 同 的 源 端口 标 
识 了 两 个 不 同 的 TCP 连接 。 


2 0. 12345 M1110 [SYN, ACK] Seq=2593254835 Ac 
3 0,000201 TCP 1110 > 全 2345 [ACK] Seq-1789313317 Ackw259: 
4 0.001647 TCP 12345 > 1110 [PSH, ACK] Seq"2593254836 Ac 
5 0,174175 TCP 1110 > 12345 [ACK] Seq=1789313317 Ack=259 
6 18. 643879 TCP 1110 > 12345 [PSH, ACK] Seq=1789313317 Ac 
7 18.644730 TCP 12345 > 1110 [PSH, ACK] Seq-2593254849 AcH 
8 18. 645490 TCP 1111 > 12346 [SYN] Seq=1793999204 Ack=0 W 
9 18.645636 TCP 12346 > 1111 [SYN, ACK] Seqs2597940304 Ac 
10 18,645654 TCP 1111 > 12346 [ACK] Seq=1793999205 Ack=259 
11 18.646914 TCP 12346 > 1111 [PSH, ACK] Seq=2597940305 Ac 
12 18. 647011 TCP 12346 > 1111 [FIN, ACK] Seq=2597940387 Ac| 
13 18.647036 TCP 1111 > 12346 [ACK] Seq=1793999205 Ack=259; 
14 18.648925 TCP 1111 > 12346 [FIN, ACK] Seq=1793999205 Ac 
15 18.649043 TCP 12346 > 1111 [ACK] Seq=2597940388 Ack=179: 
16 18. 800928 TCP 1110 > 12345 [ACK] seqe1789313349 Ackw259: 
17 24,413640 TCP 1110 > 12345 [FIN，ACK] Seq"1789313349 Ac 

加 Frame 1 (62 bytes on wire, 62 bytes captured) 

加 Ethernet 11, Src: 00:03: 2，Dst: 00:02:b3:06:5f:5a 

BInternet protocol, sre Addr: 1 8.1.1 (192.168.1.1), Dst Addr: 192.168.1.200 

图 Transmiss1ion control Protocol, Src Port: 1110 (1110), Dst Port: 


图 8.13 NetBus 后 门 特洛伊 木马 运行 时 的 网 络 数据 


利用 Wireshark 的 “TCP 数据 流 跟踪 ”功能 ,可 观察 到 NetBus 的 服务 器 端口 12345 与 
客户 机 之 间 的 传输 活动 。 图 8. 14 中 可 看 出 NetBus 服务 器 的 版 本 ,以 及 入 侵 者 下 载 了 文件 
C:\temp\secret. txt。 图 8. 15 可 看 出 木马 客户 端 已 经 获得 了 下 载 文 件 的 明文 内 容 。 这 说 
明 ,不 仅 是 入 侵 者 ,在 网 络 上 的 任何 人 ,只 要 使 用 一 个 包 嗅 探 软 件 ,就 可 以 读 到 在 网 络 上 传输 
的 此 文件 。 


» 274。 


合 Contents of TCP stream 


[this is a confidential document.0 
eet me at the tower at 2pm.n 


0 
see you thenn 


图 8.15 木马 NetBus 客户 已 获得 了 服务 端的 机 密 文件 内 容 


8.4.3 木马 RST.b 


RST.b 是 一 种 较 新 的 ,未 被 广泛 使 用 的 后 门 访问 特洛伊 木马 ,主要 影响 各 种 Linux 系 
统 平台 。 此 木马 将 受害 主机 的 网 卡 设 为 混杂 模式 ,对 收 到 的 用 户 数据 报 UDP 包 的 任何 端 
口 进行 后 门 侦 听 。 为 了 通过 网 络 远 程 访问 此 受害 主机 的 后 门 , 入侵 者 对 每 个 主机 依次 发 送 
一 个 UDP 包 ,其 中 的 载荷 数据 为 DOM。 关 于 此 后 门 的 更 多 信息 可 访问 www. qualys. com/ 
_alert/remoteshellb. html 。 

图 8. 16 是 捕获 到 的 一 组 数据 包 , 一 个 人 侵 者 正在 扫描 搜索 受 RST. b 特洛伊 木马 感染 
的 系统 。 将 捕获 到 的 UDP 包 过 滤 出 来 ,主要 分 析 图 中 最 后 9 个 UDP 包 。 入 侵 者 使 用 了 不 
同 的 源 IP 地 址 和 随机 的 目的 端口 号 ,以 防止 人 侵 检 测 系 统 (IDS) 发 现 此 扫描 活动 。 因 为 受 
RST.b 特洛伊 木马 入 侵 的 主机 的 网 卡 处 于 混杂 模式 侦 听 状态 ,对 任何 端口 上 收 到 的 任何 一 
个 内 含 用 户 数 据 为 DOM 的 UDP 包 , 都 要 返回 一 个 响应 给 该 包 的 源 主 机 , 即 入 侵 者 的 主机 。 
由 此 入 侵 者 就 可 以 找到 受 此 木马 入 侵 的 主机 ,并 可 以 对 它 进 行进 一 步 的 危害 活动 。 


2126 56327.95155 172. 
2129 56328.11613 208 
2130 56328,12008 1. 


Portmap V2 GETPORT RepTy CCall In 2124 
STAT VL STAT Call CntpYy In 2130) 
STAT V1 STAT Reply (Call In 2129) 


2269 60386. 54375 216.211.97.18 172.16.1.106 NBNS Name query NBSTAT “<00><00><00><00><00><00>. 
2270 60388.03468 216,211,97.18 172.16.1.106 NBNS Name query NBSTAT “<00><00><00><00><00><00>. 
2271 60389. 54346 216.211.97.18 172.16.1.106 NBNS Name query NBSTAT w<00><00><00><00><00><00>: 
2687 69671.00123 21 NBNS Name query NBSTAT w<00><00><00><00><00><00>: 
2688 69672. 56368 2: NBNS Name query NBSTAT *<00><00><00><00><00><00>. 
3361 85743.33644 213, 133 172.16.1.102 UDP Source port: 19566 Destination port: 18202 
3362 85743,34092 213, 68. 213.135 172.16,1.103 UDP source port: 9280 Destination port: 19757 
3363 85743.34157 213, 68. 213.144 172.16.1.104 UDP Source port: 17773 Destination port: 3327 
3364 85743.34255 213. 68.213.130 172.16.1.105 UDP Source port: 19841 Destination port: 15316 
3365 85743.34327 213, 135 172.16.1.106 UDP Source port: 14604 Destination port: 12208 
3366 85743,34405 213,68.213.140 172.16.1.107 UDP Source port: 1348 Destination port: 5274 

3367 85743,34482 213, 68, 213.133 172.16,1.108 UDP Source port: 16932 Destination port: 16219 
3368 85743.34557 213.68.213.134 172.16.1.109 UDP Source port: 18986 Destination port: 10903 


回 Frame 3360 (47 bytes on wi 7 bytes captured) 
[BEthernet II，src: 08:00:20:f6:d3:58, Dst: 00:e0:1e:60:70:40 
BInternet protocol, src Addr: 213.68.213.135 (213.68.213.135), Dst Addr: 172.16.1.101 (172.16.1.101) 
上 日 user Datagram Protoco1，src port; 5298 (5298), Dst Port; 18030 (18030) 
Source port; 5298 (5298) 
Destination port: 18030 (18030) 


Length: 13 
Checksum: 0x0000 (none) 


|0000 00 e0 le 60 70 40 08 00 20 f6 d3 58 08 00 45 00 到 
ool0 00 21 d3 16 00 00 be 11 dh 73 d5 44 d5 87 ac 10 a 
ooz0 ol 65 14 b2 46 6e 00 0d 00 00 ENN -i 


图 8.16 通过 向 目标 主机 发 送 含 有 DOM 的 UDP 包 来 探测 它 是 否 已 被 木马 RST.b 侵入 


2 


8.5 蠕虫 的 网 络 数据 捕获 分 析 案 例 


大 部 分 蠕虫 攻击 软件 系统 的 薄弱 环节 和 漏洞 ,尽管 在 此 之 前 对 这 些 软件 薄弱 环节 的 漏 
洞 补丁 程序 早 就 有 供应 了 ,但 是 未 打 补丁 的 用 户 就 成 了 攻击 的 对 象 。 一 些 复 杂 的 蠕虫 软件 
开始 出 现 , 它 们 具有 探测 软件 系统 的 几 类 脆弱 性 的 能 力 ,并 能 用 几 种 不 同 的 方式 传播 。 这 就 
使 软件 系统 的 完善 工作 和 对 抗 蠕虫 的 工作 更 困难 。 本 节 讨 论 3 种 著名 的 蠕虫 : SQL 
Slammer,Code Red 和 Ramen。 


8.5.1 SQL Slammer( 监 狱 ) 蠕 虫 


SQL Slammer 监狱 蠕 忠 于 2003 年 2 月 25 日 开始 在 互联 网 传播 ,利用 了 微软 SQL 服 
务 器 2000 的 Resolution Service 和 微软 的 桌面 引擎 MS DE2000 的 漏洞 。 也 被 称 为 
W32. Slammer 蠕虫 ,Sapphire( 蓝 宝石 ) 晴 虫 和 W32. SQL Exp. 蠕虫 。 它 被 认为 是 传播 最 
快 的 ,能 在 10min 内 感染 系统 漏洞 最 多 的 晴 虫 。 当 此 蠕虫 传 播 和 危害 了 更 多 的 网 络 系统 
时 ,该 区 域内 互联 网 的 性 能 显著 下 降 了 。 

SQL Slammer 蠕虫 利用 了 缓冲 器 堆栈 的 溢出 漏洞 ,此 漏洞 允许 执行 任意 代码 。 一 个 系统 
一 旦 受到 了 危害 ,蠕虫 就 试图 通过 发 送 376B 的 包 来 传播 自己 ,这 些 包 的 IP 地 址 是 随机 选择 
的 ,使 用 了 UDP 的 1434 端口 。 所 有 被 发 现 漏洞 的 系统 都 被 感染 了 ,并 又 从 这 些 系统 出 发 去 寻 
找 更 多 有 漏洞 的 系统 。 这 种 指数 式 增 长 的 扩散 和 传染 速度 极 快 。 此 类 传播 导致 了 其 他 的 一 些 
网 络 问题 ,包括 性 能 下 降 、 系 统 骨 溃 和 服务 器 的 拒绝 服务 。 关 于 对 抗 SQL Slammer 蠕虫 的 技 
术 细 节 , 包 括 补 本 .进入 和 外 出 数据 流 过 滤 的 指令 ,以 及 如 何 恢复 一 个 受害 的 系统 等 资料 ,可 以 
从 CERT 咨询 网 址 获取 ,地 址 是 www. cert org/advisories /CA-2003-04. html。 

由 Honeynet 研究 联盟 提供 的 每 月 挑战 活动 中 的 Scan3. log 日 志文 件 可 看 出 SQL 
Slammer 蠕虫 试图 传播 的 证 据 。 用 Wireshark 将 此 文件 打开 ,用 UDP 过 滤器 滤 出 目的 端口 
1434 的 包 , 将 看 到 Slammer 扫描 网 络 的 数据 流 .如 图 8. 17 所 示 。 可 看 到 有 55 个 包 来 自 随 
机 的 IP 源 地 址 ,它们 正在 发 送 UDP 包 到 目标 端口 1434, 这 些 包 长 度 384B, 其 中 数据 为 
376B, 头 部 长 8B。 所 有 这 些 包 都 发 向 目的 主机 172. 16. 134. 191, 没有 一 个 响应 包 返 回 出 
来 ,由 此 可 知 此 目的 主机 系统 没有 受到 破坏 ,只 是 成 为 其 他 受到 入 侵 的 系统 的 随机 选择 的 一 
个 IP 地 址 目标 。 每 个 这 些 包 都 包含 有 数据 ,虽然 这 些 数据 有 些 扰乱 .但 是 从 中 可 以 看 到 一 
些 码 字 ,例如 ws2_32. dll、kerne32. dll .GetTickCount、socket 和 send to。 

SQL Slammer 是 扩散 传播 得 最 快 的 蠕虫 ,详细 的 分 析 可 访问 www. caida. org/analysis 
/security/sapphire。 此 蠕虫 如 此 惊人 的 传播 速度 , 源 于 具有 下 述 几 个 特性 

(1) 随机 扫描 ,此 蠕虫 的 随机 扫描 获取 攻击 目标 ,使 得 其 传播 范围 以 指数 的 方式 增长 。 

(2) 简单 和 快速 的 扫描 器 , 它 的 扫描 速度 就 像 受 感染 的 计算 机 发 送 数据 包 或 网 络 传输 
这 些 包 那样 快 。 

(3) 小 尺寸 的 包 ,SQL Slammer 蠕虫 的 包 长 仅 376B。 

(4) 使 用 UDP 协议 ,不 需 建立 连接 和 等 待 响应 ,因此 传播 效率 很 高 。 

Slammer 蠕虫 的 传播 仅 用 了 10min, 就 导 臻 了 世界 范围 的 破坏 。 在 计算 机 网 络 安全 领域 ， 
利用 互联 网 快速 传播 的 蠕虫 是 危害 很 大 的 一 类 恶意 软件 ,是 一 个 需要 重视 解决 的 现实 问题 。 

wT 天 


45 22326.71619 12.252,61.161 172.16.134.191 DCERPC ng: Seq_num: 16843009 
104 51561.94488 206.149.148.192 172.16.134.191 ee Plle843009) | 


148 81237. 81969 218.4.87.137 172.16.134.191 DCERPC ping: seq_n 

149 82141.42831 66.81.131.17 172.16.134.191 DCERPC Ping: seq_num: 16843009 
152 89544.06919 61.177.56.98 172.16.134.191 DCERPC ping: seq num: 15843009 
191 105791.7621 61.132.88.90 172.16.134.191 DCERPC ping: seq num: 16843009 
192 106708. 6318 24.167.221.106 172.16.134.191 DCERPC Ping: seq_num: 16843009 
244 134238. 8786 67.201, 全 38 172.16.13R 191 DCERPC Ping: Seq_num; 16843009 
245 145180.7410 61.8.1, 172.16.13 具 191 DCERPC ping: seq_num: 16843009 
248 152927.4822 61,132, 86.90 172.16.134,191 DCERPC ping: seq_num: 16843009 
260 159581. 5442 68.84,210.227 172.16.134.191 DCERPC ping: seq_num; 16843009 
261 160035.4086 66.233.4.225 172.16.134.191 DCERPC ping: seq num: 16843009 
271 163796. 8138 200. 50.124.2 172.16.134.191 DCERPC ping: seq_num: 16843009 


: 16843009 


272 234065.2600 12.253,142.87 172.16.134.191 


e，418 bytes captured 
:0a, Dst: 00:05:69:00:01:e2 
37. 54.69 (68.37.54.69), Dst Addr: 172.16.134.191 (172.16.134.19 


Source port: 1034 (1034) 

Destination port: ms-sql-m (1434) 

Length; 384 

Se Ox8dac (incorrect, should be 0x8407) 


58 2e 64 6c 6c 68 65 6c 33 32 68 6b 65 72 6e ah.diihe 132hkern 
下 68 6f 75 6e 74 68 69 63 6b 43 68 47 65 74 54 eyo hy er 
es 


1 03 01 04 gb 81 f1 
0140 01 01 01 01 51 Bd 45 ce 50 8b 45 co 50 ff 16 6a ,:,, 
[Ener] [en sso ED rr 
图 8.17 来 自 不 同 源 IP 地 址 的 包 都 发 向 同一 目标 地 址 这 是 SQL Slammer 蠕虫 的 传播 企图 


8.5.2 Code Red Worm( 红 色 代 码 蠕虫 ) 


红色 代码 蠕虫 最 先 发 现 于 2001 年 7 月 16 日 ,从 那 时 开始 出 现 了 很 多 变形 ,包括 Code 
RedII 和 II。 此 蠕虫 感染 运行 JIS 4.0 和 5.0Web 服务 器 的 Microsoft Windows NT、2000， 
以 及 XP 的 Beta 版 。 红 色 代 码 蠕虫 利用 了 IIS 目录 服务 的 IDQ. dll 文件 的 一 个 已 知 的 缓存 
器 溢出 漏洞 ,关于 它 的 详细 资料 包括 补丁 .工作 区 和 受 损坏 系统 的 恢复 等 ,可 以 到 CERT 咨 
询 网 址 下 载 ,地 址 是 www. cert. org /advisories /_CA-2001-19. html。 在 第 8. 1. 3 节 对 此 蠕 
虫 已 作 了 初步 介绍 。 

红色 代码 蠕虫 的 运行 有 3 个 阶段 : 传播 期 ,对 Web 服务 器 系统 的 拒绝 服务 攻击 期 和 休 
卢 期 ,它们 对 时 间 性 是 敏感 的 。 虽 然 有 很 多 变形 .但 是 有 下 述 常规 性 质 : 

(1) 传播 期 模式 ,此 阶段 发 生 于 每 月 的 1 一 19 日 。 一 个 受 感 染 的 系统 会 随机 地 产 4 
些 IP 地 址 ,并 且 试图 连接 这 些 IP 地 址 主机 的 超 文本 传输 协议 HTTP 端口 80。 如 果 有 一 个 
IP 的 系统 被 连接 上 了 ,并 且 有 漏洞 ,就 向 它 发 送 HTTP 的 GET 请 求 包 ,将 蠕虫 代码 藏 在 其 
中 传 进去 ,服务 器 的 网 页 就 被 破坏 了 。 早 期 受 破坏 的 网 页 上 显示 "Welcome to www. worm. 
coml! Hacked By Chinese!”。 目 前 有 些 新 的 变形 蠕虫 不 破坏 网 页 页 面 ,而 是 设置 一 个 文件 
C:\notworm 在 系统 中 ,以 标识 该 系统 已 经 受到 感染 。 如 果 此 系统 又 一 次 受到 感染 ,此 蠕虫 
将 进入 无 限 的 休眠 状态 。 如 果 系 统 中 不 存在 C:\notworm 文件 ,就 说 明 该 系统 是 第 一 次 受 
到 感染 ,将 作为 一 个 新 的 向 其 他 系统 进行 继续 传播 扫描 的 平台 ,此 传播 活动 将 持续 到 该 月 的 
20 日 。 

(2) 对 Web 服务 器 的 拒绝 服务 攻击 模式 .此 阶段 从 20 日 持续 到 27 日 。 在 此 期 间 , 蠕 
虫 将 发 送 大 量 的 泛 洪 般 的 数据 包 给 一 个 已 选 定 的 IP 地 址 主机 ,向 该 主机 的 HTTP 端口 80 

a 齐 


[a 


发 送 大 量 数据 ,试图 阻塞 其 网 络 。 最 初 的 第 一 个 目标 是 白宫 的 网 址 198. 137. 240. 91 。 由 于 
巨 量 的 包 被 直接 发 向 此 IP 地 址 而 不 经 过 DNS 域名 解析 .因此 Whitehouse. gov 白宫 网 站 的 
网 络 管理 员 就 改变 了 网 站 的 IP 地 址 ,从 而 避免 了 此 类 导 臻 Web 服务 器 拒绝 服务 的 攻击 。 

(3) 休眠 期 模式 ,此 期 间 从 每 月 28 日 至 月 未 。 蠕 虫 将 驻 留 在 存储 器 中 ,不 被 激活 ,直到 

一 个 周期 的 开始 日 ,每 月 的 1 日 。 

图 8.18 为 捕获 的 红色 代码 蠕虫 的 搜索 和 传播 活动 数据 包 , 保 存 文件 名 为 CodeRed_ 
Stagel ,此 红色 代码 蠕虫 活动 的 捕获 文件 由 L. Christopher Paul 提供 ,可 从 www. bofh. sh 
/CodeRed 下 载 。 此 捕获 文件 是 在 实验 室 环境 运行 和 捕获 的 .用 于 演示 红色 代码 蠕虫 的 各 
阶段 ,所 以 包 里 面 的 时 间 邮 惟 不 能 反映 蠕虫 各 活动 阶段 的 正常 日 期 。 该 蠕虫 位 于 主机 
192. 168. 1. 1, 要 感染 有 漏洞 的 主机 192. 168. 1. 105。 被 新 感染 后 的 主机 又 开始 扫描 随机 产 
生 的 IP 地 址 的 主机 ,试图 打开 其 HTTP 端口 80。 这 些 捕获 包 中 的 明显 特征 样品 是 第 4 号 
包 , 内 容 是 “GET /default. ida? NNNNNNNNN…"” 它 在 为 红色 代码 进行 探测 。 对 随机 
IP 主机 的 HTTP 端口 80 扫描 开始 于 第 12 号 包 , 这 样 的 包 应 当 提 醒 你 有 些 奇 怪 的 非 正 常 
事件 发 生 了 ,这 种 状态 不 是 正常 的 Web 浏览 ,因为 从 捕获 数据 流 中 看 出 ,目标 主机 从 来 不 对 
收 到 的 GET 请 求 包 发 回响 应 。 


http > 7329 [SYN, ACK] Seq=1197939112 Ack=226171d 


2 0.0 .1.1 92.168.1.1 

3 0.000000 192,168.1.1 192.168.1.105 TCP 7329 > hrrp [ACK] Seq=226171688 Ackw1197939113 

4 0,000000 192,168.1.1 192.168.1.105 HTTP ~ GET /defau1r ,ida7NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN 
5 0.000000 192.168.1.1 192.168.1.105 HTTP continuation 

6 0.010000 192.168.1.105 192.168.1.1 TCP hrtp > 7329 [ACK] Seq=1197939113 Ack=226174608 wi 
7 0.010000 192.168.1.1 192.168.1.105 HTTP Continuation 

8 0,010000 192,168.1.105 192.168.1,1 HTTP GET 

9 0.030000 192,168.1.1 192.168.1.105 TCP 7329 > hrrp [AcK] seq-226175727 Ackm1197939117 
10 19.000000 = 192.168.1.1 192.168.1.105 TcP 7329 > http [FIN，ACK] Seq。226175727 Ack=119793 
11 19.000000 。 192.168.1.105 192.168.1.1 TCP herp > 7329 [ACK] seq=1197939117 Ack=226175728 
12 5283,250000 192.168.1.105 32.89.246.214 TCP 1029 > http [sYN] seq-1470377001 Ack=0 Win=16384 
13 5283,250000 192,168.1.105 71.234,107.18 TCP 1030 > http [5YN] seq-1470439743 Ack=0 win-16384 
14 5283.260000 192.168.1.105 110.123.123.9 TCP 1031 > http [SYN] seq-1470479647 Ack-0 win=16384 


15 5283.260000 192.168.1.105 149.12.241.68 TCP 


16 5283.260000 192,168.1.105 188.157, ee 和 TCP 1033 > http [SYN] seq-1470581901 Ack=0 Win=16384 
17 5283,260000 192.168,1.105 10.192. 61.2. TCP 1035 > hrrp [SYN] Seqe1470642238 Ack=0 wine16384 
18 5283,260000 192,168,1.105 49,81.199, $07 TCP 1036 > http [SYN] Seq-1470681992 Ack=0 Win=16384 


1037 > http [SYN] seq-1470742186 Ack=0 Win=16384 


19 5283,260000 192.168.1.105 88.226. 60.110 TcP 


右 Frame 1 C55 bytes on wire，58 bytes captured) 
加 Erherner II, Src: 00:30:24:8a:fc:71, Dst: 00:e0:98:07:c5:fs 
四 Internet prorocol, rs Addr: 192.168.1.1 (192.168.1:1), st Addr: 192.168.1.105 (192,168.1,105) 


图 8.18 红色 代码 蠕虫 1 期 活动 一 一 感染 与 传播 


图 8. 19 是 利用 Wireshark 的 “TCP 数据 流 跟 踪 ” 功 能 Follow TCP Stream 捕获 的 上 述 
红色 代码 蠕虫 的 第 1 期 活动 。 请 注意 分 析 蠕 虫 开始 时 发 送 的 HTTP GET 请 求 , 然 后 检测 
该 系统 中 是 否 存在 文件 C:\notworm, 以 及 结尾 部 分 的 破坏 和 算 改 网 页 页 面 的 代码 。 分 析 


方法 参看 第 7 章 。 

图 8. 20 是 捕获 的 红色 代码 蠕虫 的 第 2 阶段 的 活动 ,在 对 Web 网 站 进行 拒绝 服务 攻击 。 
受 感染 的 服务 器 是 192. 168. 1. 105 ,正在 试图 对 白宫 网 站 的 服务 器 198. 137. 240. 91 发 动 泛 
洪 攻击 。 因 为 这 是 在 实验 室 的 模拟 ,实际 上 受 攻击 的 服务 器 没有 出 现 饱和 与 拒绝 服务 的 攻 
击 效果 。 


8.5.3 Ramen 蠕虫 


Ramen 蠕虫 是 一 组 工具 ,它们 能 探测 系统 的 几 种 已 知 漏洞 ,并 且 能 自行 传播 。 最 早 的 
CERT 的 事件 报告 发 布 于 2001 年 1 月 18 日 ,可 在 www. cert. org/incident_ notes/ 
"~ 278 = 


Contents of TCP stream (incomplete) 


NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN 人 
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%U9090XU6858X%uUcbd3%u7801%u 请 
9090%u6858%Xucbd3%u7801Xu9090XU6858%ucbd3Xu7801Xu9090%u9090XuB8190%Uu00c3%U0003Xu8bOOXU531b% A 
U53ff%U0078XU0000%U00=a HTTP/1.00 


YY 


六 
。 人 
2 
人 
区 
2 
和 
,全 
“人 
2 
人 
,人 
2 
5 人 
Wy 
,他 
:人 
吉 抽 
:全 
“他 
:人 
2 
2 
2 
2 
入 


Kk 
.LoadL 四 ee Ts 
122p. Got systembet iti ngio, Virtualpr gyect.; nfocomm. TTepsocksend "wes 2 di 
socket: connect. send. recv. closesocket. .w3svc. d1l. 7. HTTP/1, 00 

ontent -type: text/xml 

IHOST :www.worm, com 

Accept: ww 

ontent-1ength: 3569 0 


,CI\NOTWOrMm, LMTHO 

heml> cheads amera hrtp-equiye "Content -Type” contence" sext/himl; Sharserzeng]ish ><ciF1e2H 
Buto! /title></head> <bady><hr 5i2e=5;<fonr color= red">sp aligne" center">welcone to http:/ 
|// www. worm com !<br><br>Hacked By chinese!</font></hr></bady></html> 


GET 
Entire conversation (4015 bytes) 


2 0.010000 192.168.1,105 198.137.240.91 TCP 1238 > http [SYN] Seq-1198086880 Ack=0 wine16384 | 
3 0,020000 。 192,168.1.105 198.137.240, 91 TCP 1239 > hrrp [SYN] Seq"1198135901 Ack=0 wine16384 | 
4 0.020000 。 192,168.1.105 198,137,240, 91 TCP 1240 > hrrp [SYN] seq-1198190208 Ack=0 wine16384 | 
5 0.020000 192.168.1.105 198.137.240.91 TCP 1241 > http [SYN] Seq=1198249494 Ack=0 win=16384 
5 0.020000 。 192.168.1.105 198.137.240.91 TCP 1242 > http [SYN] seq-1198287237 Ack=0 win=16384 | 
7 0.020000 192.168.1.105 198.137.240,91 Top 1243 > http [SYN] Seq=1198321188 Ack=0 win=16384 
8 0.020000 。 192.168.1.105 198.137.240. 91 TCP 1244 > http [SYN] Seq-1198381563 Ack=0 win=16384 
9 0.020000 。 192,168.1,105 198.137, 240. 91 TCP 1245 > http [SYN] Seq1198440880 Ackw0 wine16384 
10 0,020000 。 192,168.1.105 198,137,240, 91 TCP 1246 > http [SYN] seq-1198493216 Ack=0 wine16384 | 
11 0.020000 192.168.1.105 198.137.240.91 Top 1247 > http [SYN] Seq=1198557298 Ac| win=16384 
12 0.020000 。 192.168.1.105 198.137.240. 91 TCP 1248 > hrrp [SYN] seq-1198618790 Ack=0 winc16384 
13 0.020000 192.168.1.105 198.137.240.91 TCP 1249 > http [SYN] Seq=1198661813 Ack=0 win=16384 | 
14 0.020000 。 192.168.1.105 198.137.240. 91 TCP 1250 > http [SYN] Seq-1198718390 Ack=0 win=16384 
15 0,030000 。 192,168.1.105 198.137,240, 91 TCP 1251 > http [5YN] seq-1198779638 Ack=0 wine16384 
16 0.030000 。 192.168.1.105 198.137.240. 91 TCP 1252 > hrrp [SYN] seq-1198833454 Ack=0 wine16384 | 


Frame 1 (62 bytes on wire，62 bytes captured) 

加 Ethernet II, Src: 00:e0:98:07:c5:f4, Dst: 00:20:af:a4:1d:29 

BInternet protocol, src Addr: 192.168.1.105 (192.168.1.105), Dst Addr: 0137: 40; 1 (198.137.240.91) 

国 Transmission Control Protocol, sre Port: 1237 (1237), Dst Port: http 1198046342, Ack: 0, Len: 0 


图 8. 20 红色 代码 蠕虫 第 2 期 对 白宫 Web 网 站 的 拒绝 服务 攻击 模拟 


IN-2001-01. html 上 找到 。Ramen 蠕虫 的 攻击 目标 是 Red Hat Linux 6. 2 和 Red Hat 
Linux 7.0 服务 器 的 下 述 版 本 漏洞 : 


(1) wu-ftpd 此 程序 运行 于 TCP 端口 21 ,版 本 漏洞 是 site_exec() 函 数 中 了 包含 一 个 格 
“ 279 % 


式 字 段 输入 确认 错误 。 

(2) rpc. statd 此 程序 运行 于 TCP 端口 111 ,版 本 漏洞 是 在 syslog() 函数 中 包含 了 一 个 
格式 字段 输入 确认 错误 。 

(3) Lprng 此 程序 运行 于 TCP 端口 515 ,漏洞 是 在 syslog() 函数 中 包含 的 格式 字段 输 
和 确认 错误 。 

当 一 台 主 机 受到 入 侵 后 ,Ramen 工具 就 被 复制 到 一 个 称 为 /usr/src/. poop 的 目录 中 ， 
它们 被 一 系列 的 外 壳 脚 本 程序 启动 和 控制 。Ramen 蠕虫 的 一 些 重要 特征 如 下 : 

(1) 将 受 攻击 网 站 的 index. html 文件 替换 掉 ,改变 Web 首页 ,新 的 首页 显示 一 条 字段 
“Hackers looooooooooooooooove noodles”( 黑 客 们 喜欢 面条 ) ,以 及 显示 一 包 Ramen 面条 的 
图 片 。 

(2) 发 送 电子 邮件 到 gb31337@ yahoo. com 和 gb31337 @ hotmail. com, 邮件 内 容 是 
“Eat your Ramen noodles!” 

(3) 将 文件 /etc/hosts. deny 去 掉 , 使 TCP 的 重复 访问 控制 列表 (tcp wrappers access 
control list) 失 效 。 

(4) 文件 /usr/src/. poop/myip 中 包含 了 本 地 系统 的 IP 地 址 。 

(5) 修改 文件 /etc/rc. d/re. sysinit, 使 其 中 含有 一 个 启动 脚本 ,启动 漏洞 扫描 和 探测 。 

(6) 系统 中 被 加 入 了 一 个 称 为 asp 的 新 程序 ,产生 一 个 TCP 的 侦 听 端口 27374。 此 端 
口 被 用 来 发 送 ramen. tgz 工具 文件 到 其 他 的 被 人 侵 系 统 。 此 端口 也 是 Sub Seven 蠕虫 使 用 
的 端口 ,这 是 否 巧 合 ? 不 知道 该 蠕虫 的 作者 为 什么 还 要 使 用 这 样 一 个 已 经 众所周知 的 端口 ， 
因为 大 多 数 入 侵 检测 系统 (IDS) 应 该 已 经 设置 了 对 该 端口 的 活动 发 出 警报 。 

(7) 在 文件 /etc/ftp users 中 被 加 入 了 用 户 名 ftp 和 anonymous ,并 将 匿名 FTP( 文 件 传 
输 协 议 ) 中 止 。 通 过 将 匿名 FTP 中止, 蠕虫 代码 的 此 部 分 实际 上 已 经 修补 了 用 于 进入 该 系 
统 的 漏洞 。 

(8) 系统 中 rpd. statd 和 rpc. rstatd 的 服务 被 中 止 了 ,文件 /sbin/rpe. statd 和 /usr/ 
sbin/rpc，statd 被 删除 。 但 是 ,没有 被 称 为 rpc. rstatd 的 服务 。 

(9) 服务 lpd 被 中 止 ,系统 文件 /usr/sbin/Vlpd 被 删除 了 。 

一 旦 系统 被 进行 了 上 述 修改 ,Ramen 蠕虫 开始 扫描 和 探测 它 所 能 找到 的 其 他 系统 的 漏 
洞 。 此 蠕虫 随机 产生 大 量 的 B 类 IP 地 址 作为 扫描 的 目标 , 它 发 送 的 TCP 包 中 将 控制 位 
SYN 和 FIN 置 1, 并 且 源 端口 和 目的 端口 都 是 21。 一 旦 一 个 有 漏洞 的 系统 被 人 侵 了 ,就 发 
生 以 下 事件 : 

(1) 在 受 入 侵 的 系统 中 建立 一 个 目录 /usr/src/. poop。 

(2) 将 工具 包 ramen. tgz 复制 到 此 新 的 目录 ,以 及 /tmp 目录 。/tmp 目录 就 是 此 工具 
包 所 存储 的 地 方 , 所 以 就 可 以 复制 到 新 的 有 漏洞 的 系统 中 去 。 

(3) 工 具 包 ramen. tgz 在 目录 /usr/src/. poop 中 是 没有 被 存档 压缩 的 ,于 是 启动 了 初始 
的 外 壳 脚 本 文件 。 这 系统 就 被 完全 和 人 侵 了 ,蠕虫 又 开始 由 此 扫描 新 的 有 漏洞 的 系统 。 

下 面 的 数据 包 ramenattack. gz 是 从 网 址 www. whitehats. com/library/worms/ramen 
下 载 的 ,在 那里 有 Max Vision 对 Ramen 蠕虫 进行 的 很 详细 的 分 析 , 文 件 名 是 Ramen 
Internet Worm Analysis, 以 及 ramen. tgz 的 源 代 码 。 当 打开 ramen attack. gz 时 ， 
Wireshark 将 自动 解压 显示 此 文件 。 

*。280 。 


下 面 将 逐步 分 析 这 些 捕获 包 的 各 部 分 ,展示 Ramen 里 虫 工作 的 步骤 如 下 : 
(1) 在 图 8. 21 中 , 受 感染 的 系统 192. 168. 0. 23 正在 对 B 类 网 络 10. 0. 0. 0/24 进行 
SYN/FIN 扫描 。 它 已 收 到 来 自 目标 系统 10. 0. 0. 23 的 一 个 SYN/ACK 响应 包 (24 号 )。 


File Edt View Capture Analyze Help 


回馈 zxJ@ 避 加 > 到 加 辐 济 司 
21 一 -一 


22 0.400220 。 192.168.0.23 
23 0.423382 192.168.0.23 


frp > ftp [FIN，SYN] Seq=420358630 Ack=1247233102 
frp > ftp [FIN, SYN] Seq-420358630 Ack=1247233102 
frp > frp [FIN, SYN] Seq-420358630 Ack=1247233102 


25 0.429950 192.168.0.23 ftp > ftp [RST] Seq=420358631 Ack=0 win=0 Len=0 
26 0.438750 。 192.168.0.23 10.0.0.23 TCP 108 > frp [SYN] Seq=1856120077 Ack=0 Wwin=32120 Li 


27 0.440095 。 192.168.0.23 10.0.0.24 TCP ftp > ftp [FIN, SYN] Seq=420358630 Ack=1247233102 
28 0.440906 。 10. 192.168.0.23 TcP frp > 1064 [SYN, ACK] Seq=490536476 Ack=185612007 
29 0.442526 。 192,168.0.23 10.0.0.23 TCP 1064 > ftp [ACK] seq=1856120078 Acke490536477 win 
30 0.457390 。 192,168.0,23 10.0.0.25 TcP frp > ftp [FIN, SYN] Seq420358630 Ack=1247233102 
31 0.476475 192.168.0.23 .0.0.26 TCP frp > ftp [FIN, SYN] Seq=420358630 Ack=1247233102 
32 0.495521 192,168.0,23 10.0.0.27 TCP frp > frp [FIN, SYN] Seq=420358630 Ack=1247233102 
33 0.514545 。 192.168.0.23 10.0.0.28 TcP frp > frP [FIN, SYN] Seq-420358630 Ack=1247233102 
34 0.533223 。 192.168.0.23 10.0.0.29 TcP ftp > ftp [FIN, SYN] Seq=420358630 Ack=1247233102 
35 0.552871 = 192.168.0.23 10.0.0.30 TCP frp > ftp [FIN, SYN] Seq=420358630 Ack“1247233102 
AR ms77hRh4 107 1RR m ?3 NN Na TYre rm 、frm_FETN cv] san-47nasRR2A_ Ack-124733310? 
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: 192.168.0.23 (192.168.0.23) 
Transmission Control Protoco1，Src Port: ftp (21), Dst Port: ftp (21), Seq: 488341612, Ack: 420358631, Len: 0 


图 8.21 Ramen 蠕虫 正在 进行 传播 扫描 活动 


(2) 在 26 号 包 中 ,蠕虫 连接 到 目标 10. 0. 0. 23 的 系统 , 算 夺 了 文件 传输 协议 FTP 的 
banner, 并 分 析 此 系统 是 否 是 Red Hat 6.2 或 7.0 的 服务 器 。Red Hat 6. 2 服务 器 返回 的 
banner 内 容 如 下 : 

220 test2. whitehats. com FTP server( Version wu-2. 6. 0(1) Mon Feb 28 10:30:36 EST 
2000) ready.《 响 应 代码 220: 服务 准备 就 绪 。 本 FTP 服务 器 的 名 称 版 本 日 期 ,准备 就 绪 ) 

221 You could at least say goodbye. (响应 代码 221: 服务 正在 关闭 传输 通道 ,可 以 结束 
进程 ) 

(3) wu-ftp 和 rpe. statd 被 启动 ,搜索 潜在 的 目标 。 在 137 号 包 中 wu-ftp 开始 工作 ,未 
获 成 功 ,但 是 rpc. statd 的 探测 成 功 了 。 图 8. 22 中 展示 了 rpc. statd 的 载荷 内 容 。 注 意 , 填 
充 字段 “90 90 90 90 …” 和 尾部 “/bin/sh” 执 行 了 一 个 外 过 指令 。 注 意 第 289 号 包 , 一 旦 对 目 
标 网 络 10. 0. 0. 0/24 的 SYN/FIN 扫描 结束 后 , 它 又 从 端口 31337 发 送 一 个 SYN/FIN 到 目 
标 10. 9. 9.9。 这 就 表明 ,发送 到 网 址 www. microsoft. de 的 包 的 扫描 结束 了 。 因 为 此 蠕虫 
的 激活 和 分 析 是 在 实验 室 环境 中 进行 ,利用 10. 9. 9. 9 来 代表 www. microsoft. de。 

(4) 请 注意 图 8. 22 中 第 290 号 包 , 它 连接 到 目标 系统 的 39168 端口 。 工 具 rpc. statd 
在 受 入 侵 系统 的 此 端口 建立 了 一 个 后 门 ,现在 此 端口 被 用 来 进行 蠕虫 的 传播 并 执行 。 还 发 

一 个 电子 邮件 到 Hotmail 和 Yahoo 的 账户 。 由 此 端口 发 出 的 传输 数据 在 图 8. 23 中 。 

(5) 可 以 看 到 最 后 的 连接 开始 于 图 8. 22 的 第 297 号 包 中 , 它 在 发 送 由 前 面 的 脚本 启动 
的 Ramen 工具 包 。 新 的 受 感染 系统 返回 一 个 连接 到 攻击 者 的 端口 27374, 由 此 下 载 该 蠕虫 
的 副本 。 

(6) 蠕虫 现在 运行 于 受 感染 系统 中 ,又 开始 寻找 下 一 个 新 的 有 漏洞 的 主机 系统 。 

总 之 ,Ramen 蠕虫 是 容易 被 检测 到 的 ,特别 是 因为 它 使 用 了 一 个 众所周知 的 特洛伊 木 
马 的 端口 来 传输 蠕虫 。 它 还 含有 未 解释 的 和 低 效率 的 代码 ,并 且 没 有 进行 隐藏 的 措施 。 其 
中 有 几 个 地 方 的 功能 还 可 以 进行 优化 。 然 而 这 是 一 个 蠕虫 , 它 攻 击 系统 的 几 个 不 同 的 漏洞 ， 
并 能 自行 传播 。 在 网 络 安全 领域 ,应 当 充分 注意 防范 具有 这 些 性 质 的 更 多 种 类 的 蠕虫 。 
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Time ET Toestination TProtoco! Tn 


289 8.714892 。 192.168.0.23 10.9.9.9 TCP 31337 > http ry 

290 13,989755 。 192.168.0.23 10.0,0.23 TCP 1066 > 39168 [SYN] Seq=1859298529 Ack=0 win=3212 
291 14.018741 。 10.0.0.23 192.168.0.23 Tp 39168 > 1066 [SYN, ACK] Seq=493947244 Ack=185929 
292 14.019651 192.168.0.23 10.0.0.23 TcP 1066 > 39168 [ACK] Seq=1859298530 Ack=493947245 
293 14.021772 192.168.0.23 10.0.0.23 Tp 1066 > 39168 [PSH, ACK] Seq=1859298530 Ack=49394 
294 14.058977 10.0.0.23 192.168.0.23 TCP 39168 > 1066 [ACK] Seq=493947245 Ack=1859298569 
295 14.060048 。 192.168.0.23 10.0.0.23 TCP 1066 > 39168 [PsH，ACK] Seq=1859298569 Ack=49394 
296 14.077734 本 192.168.0.23 TCP 39168 > 1066 [ACK] Seq=493947245 Ack=1859298801 
297 18.738739 192.168.0.23 Tp 1035 > 27374 [SYN] seq-507190044 Ack=0 win=32120 
298 18. 741962 10.0.0.23 TCP 27374 > 1035 [SYN, ACK] Seq=1864575706 Ack=50719| 
299 18.744611 19; TcP 1035 > 27374 [ACK] Sea=507190045 Ack=1864575707 


Frame 288 Cl118 bytes on wire, 1118 bytes captured) 

加 Ethernert II, Src: 00:50:56:95:22:33, Dst: 00:50:56:a2:22:45 

加 Internetr Protoco1，src Addr: 192.168.0.23 (192.168.0.23), Dst Addr: 10.0.0.23 (10.0.0.23) 
国 User Datagram Protocol, Src Port: 687 (687), Dst Port: 931 (931) 

加 Remote Procedure Call, Type:Call XID:0x4cd39072 

国 Nerwork status Monitor Protocol 


lo360 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 
lo370 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 
lo380 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 
lo390 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 
lo3a0 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 
lo3bo 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 
lo3c0 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 
lo3d0 90 90 90 90 90 90 90 90 31 cO eb 7¢ 59 89 41 10 
lo3e0 89 41 08 fe cO 89 41 04 B89 c¢3 fe co 89 01 b0O 66 
lo3fo cd 80 b3 02 89 59 Oc c6 41 0e 99 c6 41 08 10 89 
lo400 49 04 80 41 04 Oc 88 01 bO 66 cd 80 b3 04bo66 
oalo cd 80 b3 05 30 c0 88 41 04 bo 66 cd 80 89 ce 88 
lo420 c3 31 c9 bo 3f cd 80 fe cl bo 3f cd 80 fe cl bO 
l0430 3f cd 80 c7 06 2f 62 69 6e c¢7 46 04 2f 73 68 41 


0440 30 c0 88 46 07 89 76 Oc 8d 56 10 Bd 4e Oc 89 f3 
0450 bo Ob cd 80 bo 01 cd 80 eB IF FF fF FF 00 


Contents of TCP st 


IE 


ack1. sh 


Ahive contains future tinestamp 2001-01-18 15:39:27 
[start.s 
[tar: Archive contains future timestamp 2001-01-18 15:39:54 


Entire conversation (563 bytes) 二 |^ASCI v EBCDIC vt+Prnt|Save As|Filer out this stream| Clo 


图 8.23 Ramen 蠕虫 的 执行 过 程 


8.6 本 章 小 结 


对 计算 机 系统 的 最 大 威胁 来 自 于 利用 操作 系统 脆弱 性 和 网 络 协议 脆弱 性 进行 攻击 的 恶 
意 程序 。 第 8. 1 节 对 恶意 程序 进行 了 详细 地 归纳 .并 举例 说 明了 恶意 程序 的 制造 机 理 , 随 后 
深入 讨论 了 两 个 问题 : 计算 机 病毒 的 “感染 机 制 ”" 及 其 分 类 ,蠕虫 的 “发 病 机 理 ” 及 其 分 类 。 
按 两 种 方法 将 恶意 程序 分 类 : 
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(1) 需要 宿主 程序 和 独立 于 宿主 程序 两 类 ,前 者 要 发 挥 作 用 必须 依靠 某 一 宿主 程序 , 包 
括 : 陷阱 .逻辑 炸弹 、 特 洛 伊 木马、 病 毒 ; 后 者 是 一 些 可 以 由 操作 系统 调度 和 运行 的 独立 程 
序 , 包 括 : 蠕虫 .僵尸 程序 。 

(2) 分 为 不 可 进行 自我 复制 的 和 可 进行 自我 复制 的 两 类 。 前 者 在 宿主 程序 被 触发 的 时 
候 执 行 相应 的 程序 操作 ,但 不 会 对 本 身 进行 复制 操作 ,包括 : 陷阱 、 逻 辑 炸 弹 、 特 洛 伊 木 马 ; 
后 者 包括 程序 段 (病毒 ) 或 独立 的 程序 (蠕虫 ) ,这 些 程序 执行 的 时 候 将 产生 自身 的 一 个 或 多 
个 副本 ,在 适当 的 时 候 在 本 系统 或 其 他 系统 内 被 激活 ,包括 : 病毒 . 肾 虫 . 蛇 神 程序 。 

计算 机 病毒 的 生命 周期 有 4 个 阶段 : 休眠 阶段 ,传播 阶段 .触发 阶段 和 执行 阶段 。 文 中 
以 压缩 型 病毒 为 例 , 对 病毒 的 结构 及 其 “感染 机 制 ” 也 描绘 得 十 分 形象 。 近 几 年 ,病毒 的 数量 
有 了 显著 增长 ,如 宏 病 毒 .电子 邮件 病毒 和 网 络 蠕虫 等 ,每 种 病毒 都 有 不 同 的 特性 ,应 当 采 用 
不 同 的 对 抗 方法 。 

自 计算 机 病毒 诞生 之 日 起 ,人 们 就 开始 用 尽 一 切 办 法 来 对 抗 不 断 更 新 的 病毒 “标本 库 ”， 
这 是 一 项 长 期 而 艰巨 的 任务 。 人 们 逐渐 总 结 出 了 一 套 应 对 病毒 的 措施 : 检测 、 识 别 、 清 除 病 
毒 。 反 病毒 软件 也 历经 了 简单 扫描 器 .启发 式 扫描 器 、 活 动 陷阱 .全 状态 保护 4 个 阶段 。 更 
高 级 的 反 病 毒 技术 则 包括 通用 解密 技术 、 病 毒 免疫 系统 和 行为 阻 断 软件 ,在 第 8. 2 节 中 详细 
介绍 了 以 上 这 些 技术 。 

第 8.3 节 介 绍 了 木马 的 工作 原理 和 对 抗 措施 。 一 般 的 木马 程序 都 包括 客户 端 和 服务 端 
两 个 程序 ,其 中 攻击 者 使 用 客户 端 来 远程 控制 植 和 人 木马 的 机 器 ,被 攻击 的 网 络 计算 机 上 安装 
的 是 木马 程序 的 服务 器 端 , 它 所 做 的 工作 是 要 对 远程 客户 端的 访问 做 出 响应 ,并 执行 客户 端 
所 提出 的 各 种 要 求 。 因 此 ,对 木马 的 防范 与 清除 ,与 病毒 的 清除 方式 具有 不 同 的 特点 。 

第 8.4 节 和 第 8.5 节 分 别 介 绍 了 木马 和 蠕虫 人 侵 系 统 后 的 网 络 捕获 数据 分 析 案 例 。 结 
合 本 章 、 第 7 章 的 内 容 进行 实践 和 分 析 ,提高 自己 的 网 络 安全 实践 应 用 能 力 。 


习题 与 实践 


1. 简要 描述 图 8. 1 中 的 病毒 分 类 。 了 解 恶意 程序 的 两 种 分 类 方法 及 各 自 的 代表 程序 。 
分 析 恶 意 程 序 陷阱 门 、 逻 辑 炸弹 、 特 洛 伊 木 马 、 蛇 神 程序 的 基本 特点 。 

2. 隐秘 病毒 的 运行 过 程 中 为 什么 要 进行 压缩 ? 隐秘 病毒 的 运行 中 为 什么 要 进行 加 密 ? 

3. 病毒 或 蠕虫 的 生存 期 有 哪 几 个 阶段 ?蠕虫 通常 用 什么 方式 进行 传播 ? 

4. 什么 是 病毒 免疫 系统 ? 结合 一 种 商用 杀毒 软件 的 运行 过 程 ,说 明 开 发 商 是 如 何 为 客 
户 服务 的 ? 

5. 行为 阻止 软件 是 怎样 工作 的 ? 

6. 请 描绘 出 病毒 的 本 质 及 其 结构 ,压缩 病毒 的 “感染 机 制 ”。 

7. 请 列举 病毒 的 5 种 类 型 和 其 生命 周期 的 4 个 阶段 。 

8. 在 计算 机 上 打开 微软 的 MS Office 文字 处 理 软 件 ,从 “工具 " 栏 中 了 解 宏 的 各 项 功能 

9. 请 说 出 宏 病毒 .电子 邮件 病毒 和 蠕虫 病毒 各 自 的 概念 “制造 机 理 ” 或 “发病 机 理 ”。 

10. 能 列举 病毒 对 抗 的 三 项 措施 以 及 反 病 毒 软件 经 历 的 4 个 时 期 。 

11. 在 Windows 启动 后 自动 加 载 程序 有 几 种 方法 ? 
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12. 木马 是 如 何 启动 的 ? 木马 有 哪些 种 类 ? 被 木马 感染 后 应 采取 哪些 措施 ? 
13. 防范 木马 程序 要 从 哪些 方面 和 人手? 选择 并 安装 一 种 木马 检测 和 清除 工具 ,说 明 其 


大 致 工作 原理 。 
14. 使 网 络 服务 器 中 充斥 着 大 量 要 求 回复 的 请 求 信 息 ,消耗 网 络 带宽 ,导致 网 络 或 系统 
停止 正常 服务 ,这 属于 攻击 。 
a. 拒绝 服务 b. 文件 共享 c. BIND 漏洞 d. 过 程 调用 
15. Windows XP 系统 的 “远程 桌面 连接 ”是 通过 端口 实现 的 。 
a. 21 b: 23 c. 445 d. 3389 


16. 按照 第 7 章 和 本 章 介绍 的 方法 ,检测 自己 计算 机 联网 时 候 的 开放 端口 ,分 析 哪 些 连 
接 是 正常 的 ? 哪些 连接 是 可 疑 的 ? 写 出 分 析 实 验 报告 。 

17. 判断 题 。 

a. 发 现 木 马 ,首先 要 在 计算 机 的 后 台 关 掉 其 程序 的 运行 。 

b. TCP FIN 属于 典型 的 端口 扫描 类 型 。 

c. 为 了 防御 网 络 监听 ,最 常用 的 方法 是 采用 物理 传输 。 

d. 使 用 最 新 版 本 的 网 页 浏览 器 软件 可 以 防御 黑客 攻击 。 

e. 通过 使 用 SOCKS5 代理 服务 可 以 隐藏 QQ 的 真实 IP。 

f. 禁止 使 用 活动 脚本 可 以 防范 IE 执行 本 地 任意 程序 。 

g. 限制 网 络 用 户 访问 和 调用 cmd 的 权限 可 以 防范 Unicode 漏洞 。 

18. 假设 用 户 的 公司 遭受 到 几 次 拒绝 服务 攻击 ,其 中 大 部 分 是 由 于 MS Outlook E-mail 
服务 端 造成 的 ,在 不 影响 客户 端正 常 工 作 的 前 提 下 ,该 怎样 保护 其 系统 不 再 遭受 到 该 类 型 
的 DoS? 

19. 有 些 网 站 在 受到 蠕虫 或 病毒 入 侵 时 .选择 不 返回 ICMP 请 求 。 分 析 在 有 记载 的 攻 
击 活动 中 ICMP 的 作用 。 若 完全 禁止 ICMP, 会 出 现 什么 结果 ? 
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第 9 章 ”防火 墙 \IPS 入 侵 保 护 与 安全 访问 控制 


本 章 首 先 讨论 防火 墙 (Firewall) 的 基本 知识 、 防 火 墙 的 类 型 .参数 配置 与 网 络 结构 。 然 
后 介绍 人 侵 检测 系统 (IDS) 和 入 侵 保 护 系 统 (IPS), 用 于 主机 安全 访问 控制 的 可 信任 系统 
(Trusted System) 的 概念 与 构成 ,一 种 盗号 木马 恶意 软件 的 工作 原理 与 防护 措施 , Windows 
XP 操作 系统 的 安全 访问 控制 策略 等 。 


9.1 防火 墙 的 设计 目标 


“防火 墙 ” 的 概念 源 于 建筑 物 与 建筑 物 之 间 的 一 道 可 防止 火势 蔓延 的 高 墙 。 在 网 络 通信 
中 ,防火 墙 是 连接 于 两 个 或 多 个 网 络 之 间 用 于 实施 访问 控制 的 一 组 软件 或 硬件 设备 的 集合 。 
本 节 讨 论 防火 墙 的 一 般 特 性 ,然后 分 析 当 前 广泛 使 用 的 防火 墙 的 类 型 和 工作 原理 ,最 后 研究 
一 些 通用 的 防火 墙 的 配置 。 

(1) 所 有 进出 内 网 与 外 网 之 间 的 数据 流 都 必须 经 过 通道 上 的 防火 墙 ,在 物理 上 阻 断 其 
他 可 能 进入 本 地 网 的 通路 ,参看 图 9.4。 将 未 授权 的 用 户 排除 在 被 保护 的 网 络 之 外 ,禁止 有 
潜在 隐患 的 服务 数据 进入 网 络 或 从 网 络 发 出 ,并 且 提 供 保护 ,防止 各 种 IP 欺骗 和 路 由 攻击 。 
由 于 安全 功能 都 集中 配置 于 一 个 或 一 组 系统 ,使 用 单一 的 关口 ,可 以 简化 局 域 网 内 部 的 安全 
维护 和 管理 工作 。 

(2) 只 有 符合 本 地 网 络 安全 访问 控制 策略 的 IP 包 能 够 通过 防火 墙 。 根 据 用 户 网 络 的 
具体 需要 采用 不 同类 型 的 防火 墙 , 可 实施 不 同类 型 的 安全 策略 。 防 火 墙 提供 了 对 安全 事件 
的 监测 点 ,可 以 实施 审计 与 报警 等 网 络 管理 功能 。 

(3) 防火 墙 的 操作 系统 本 身 应 当 具 有 防止 渗透 的 能 力 .需要 使 用 一 个 受信 任 的 和 安全 
可 靠 的 操作 系统 。 可 靠 的 防火 墙 系统 通常 由 一 台 或 一 组 计算 机 及 操作 系统 组 成 ,能 执行 给 
定 的 安全 策略 。 

(4) 防火 墙 的 其 他 功能 : 可 作为 内 部 和 外 部 网 络 地 址 变换 (NAT) 的 平台 ,由 此 缓解 地 

空间 短缺 的 问题 ,并 隐藏 内 网 的 结构 ;防火 墙 能 够 作为 在 广域网 上 构建 IPSec VPN 虚拟 
私有 网 络 的 平台 ,利用 IPSec 的 隧道 模式 ,将 远 端的 局 域 网 通过 公 网 加 密 信道 安全 互联 , 见 
第 11 章 图 11. 12 的 介绍 。 


9.1.1 防火 墙 的 控制 功能 


(1) 服务 控制 : 控制 内 网 用 户 可 以 访问 互联 网 的 服务 类 型 ,网 络 层 防火 墙 可 以 通过 IP 
包 中 的 IP 地 址 和 传输 层 端口 号 来 过 滤 数 据 流 ; 可 使 用 代理 服务 软件 , 它 在 转发 每 个 服务 请 
求 之 前 对 其 接收 和 转换 ;或 者 直接 控制 Web 或 电子 邮件 等 服务 器 软件 。 
(2) 网 络 数据 流向 的 控制 : 确定 进出 局 域 网 的 数据 流 方向 ,可 发 起 某 类 服务 请 求 并 允 
许 经 过 防火 墙 。 
(3) 用 户 控制 : 对 不 同 的 用 户 允 许 访问 互联 网 的 不 同 服务 。 此 特性 主要 是 针对 防火 墙 
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内 侧 的 本 地 用 户 。 也 可 以 用 于 控制 外 部 用 户 发 向 局 域 网 内 的 流量 ,这 需要 采用 如 IPSec 等 
所 提供 的 身份 认证 技术 。 

(4) 应 用 服务 内 容 的 控制 : 防火 墙 可 以 过 滤 电 子 邮 件 、 删 除 垃 圾 邮件 ,或 者 只 允许 从 外 
部 网 络 访问 内 部 Web 服务 器 的 部 分 信息 ,而 禁止 其 他 的 操作 。 


9.1.2 防火 墙 功 能 的 局 限 性 


(1) 对 于 绕 开 了 防火 墙 的 攻击 行为 ,防火 墙 不 能 提供 保护 。 例 如 ,连接 在 内 网 上 的 主机 
可 能 同时 通过 拨号 线路 或 移动 通信 信道 连接 到 互联 网 服务 商 (ISP) 的 网 络 ,这 会 导致 内 网 
有 多 个 的 网 络 出 口 。 有 些 局 域 网 内 部 可 能 配置 了 多 个 调制 解 调 器 池 (Modem Pool) ,为 出 差 
和 在 家 中 通过 网 络 远程 上 班 的 雇员 服务 。 这 些 都 形成 了 内 网 与 外 网 的 多 个 接口 ,从 而 可 能 
产生 绕 开 了 防火 墙 的 攻击 。 对 此 需 采 用 屏蔽 子 网 防火 墙 等 网 络 结构 。 

(2) 防火 墙 对 来 自 内 部 的 威胁 不 能 提供 保护 。 例 如 ,一 个 心怀 不 满 的 雇员 或 一 个 没有 
警惕 性 的 雇员 无 意 中 与 一 个 外 部 攻击 者 进行 了 交流 ,从 而 使 攻击 者 合法 地 进入 内 网 。 

(3) 位 于 网 络 层 的 包 过 滤 防 火 墙 不 能 对 那些 已 经 受到 病毒 感染 的 应 用 程序 和 文件 的 传 
输 实 施 过 滤 保 护 。 要 在 防火 墙 上 阻止 病毒 木马 等 恶意 入侵 ,必须 采用 具有 深度 监测 的 应 用 
层 防 火 墙 。 


9.1.3 防火 墙 的 日 志 记录 


防火 墙 日 志 对 于 评价 一 个 网 络 受到 的 安全 威胁 程度 是 十 分 重要 的 ,还 可 用 于 当 系 统 受 
到 攻击 之 后 进行 事故 调查 ,以 及 对 系统 防护 措施 的 薄弱 环节 进行 评估 。 应 用 层 的 代理 服务 
防火 墙 具 有 对 转发 的 数据 流 的 最 详细 的 日 志 记 录 , 防 火 墙 还 可 实现 当 出 现 网 络 攻击 事件 时 
触发 报警 。 无 论 对 内 部 网 络 的 攻击 成 功 与 否 , 日 志 都 可 提供 详细 的 跟踪 入 侵 者 的 重要 线索 
和 证 据 , 也 可 用 于 评价 网 络 防护 的 完善 与 否 。 


9.2 防火墙 的 类 型 与 参数 配置 


防火 墙 的 分 类 : 按照 工作 于 网 络 协议 栈 的 层次 ,可 分 为 网 络 层 和 应 用 层 防 火 墙 ;按照 结 
构 ,可 分 为 硬件 防火 墙 和 软件 防火 墙 ; 按 照 网 络 位 置 ,可 分 为 网 络 防火 墙 和 主机 防火 墙 ; 按 照 
网 络 结构 ,可 分 为 单 属 主机 防火 墙 . 双 属 主机 防火 墙 .屏蔽 子 网 防火 墙 等 。 


9.2.1 网 络 层 的 包 过 滤 防 火 墙 


网 络 层 防火 墙 可 分 为 两 类 : 无 状态 检测 的 包 过 滤 防 火 墙 和 全 状态 检测 的 包 过 滤 防 
火 墙 。 

最 早 的 包 过 滤 防 火 墙 于 1988 年 由 DEC(Digital Equipment Corporation) 公 司 开 发 ,后 
经 业界 不 断 地 改进 和 发 展 ,至 今 已 成 为 局 域 网 与 互联 网 接 入 的 重要 安全 防护 基础 设施 。 

包 过 滤 防 火 墙 工作 于 网 络 层 ,可 安装 在 私有 网 络 与 互联 网 之 间 唯 一 通道 的 路 由 器 上 , 因 
此 也 可 称 为 包 过 滤 路 由 器 。 利 用 每 个 出 入 内 外 网 的 IP 包头 部 信息 实施 检查 ,然后 与 设 定 的 
一 组 过 滤 规 则 对 比 ,由 此 决定 对 每 个 IP 包 是 转发 或 抛弃 。 包 过 滤 防 火 墙 不 保留 每 个 处 理 过 
的 IP 包 的 信息 ,因此 称 为 无 状态 的 (stateless)。 它 对 IP 包 的 转发 处 理 速度 较 快 ,但 是 防护 
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功能 有 限 。 包 过 滤 防 火 墙 一 般配 置 为 对 输入 和 输出 到 互联 网 的 包 进行 双向 过 滤 。 过 滤 规则 
由 含 在 IP 包头 部 的 以 下 信息 来 决定 : 

(1) 信 源 IP 地 址 : 即 发 送 IP 包 的 源 主 机 IP 地 址 。 

(2) 信 宿 IP 地 址 : IP 包 所 要 到 达 的 目的 主机 的 IP 地 址 。 

(3) 信 源 和 信 宿 的 传输 层 端口 地 址 : 即 TCP、UDP 等 协议 的 端口 号 。 其 中 包含 : 公认 
端口 地 址 定义 了 官方 规定 的 互联 网 应 用 服务 端的 类 型 ,如 超 文本 传输 协议 (80) ,简单 邮件 传 
输 协 议 (25) ,域名 系统 (53) 等 (参看 附录 A) ;临时 端口 地 址 和 注册 端口 地 址 。 

(4) IP 包头 部 的 协议 字段 : 见 第 4 章 图 4.15, 定 义 了 此 IP 包 内 携带 的 上 层 协 议 类 型 ， 
有 十 多 种 。 

(5) 网 络 接口 : 对 于 有 3 个 和 更 多 网 络 接口 的 路 由 器 ,防火 墙 规则 定义 了 从 哪个 接口 输 
入 的 卫 包 应 当 从 哪个 接口 转发 出 去 。 

(6) IP 包 头 部 的 生存 期 值 。 

包 过 滤 防 火 墙 的 过 滤 规 则 和 策略 来 自 两 个 方面 ,一 是 防火 墙 制 造 商 预 设 的 通用 规则 组 ， 
它们 必须 定期 升级 更 新 ,能 够 满足 一 般 用 户 网 络 的 防火 墙 应 用 需求 。 另 外 是 网 络 管理 员 或 
主机 用 户 根据 自己 网 络 的 特点 和 需求 设置 的 规则 ,例如 黑 名 单 、 可 信任 网 站 、 端 口 阻 止 等 。 

包 过 滤 规 则 的 实施 一 般 是 读 取 IP 包头 部 和 TCP 头 部 中 的 各 字段 数值 与 防火 墙 设 定 的 
一 组 数据 进行 匹配 。 如 果 这 些 规则 中 有 一 项 得 到 匹配 吻合 .就 按照 预 设 决策 将 此 包 转 发 或 
丢弃 。 如 果 包 中 没有 任何 条 目 与 这 些 规 则 匹配 ,就 采取 一 种 默认 处 理 的 行动 。 可 选 两 种 默 
认 设 置 : 

Q@ 默认 设置 为 丢弃”: 如 果 收 到 的 IP 包 的 属性 没有 被 防火 墙 的 规则 明确 规定 为 放行 ， 
就 将 此 包 抛 弃 。 这 种 策略 是 比较 保守 的 。 一 个 新 的 防火 墙 系统 刚 开 始 运行 时 ,初始 状态 设 
为 将 所 有 的 包 阻止 ,然后 在 运行 过 程 中 每 当 出 现 一 类 新 的 包 就 提示 管理 员 对 其 进行 过 滤 规 
则 设置 , 随 着 使 用 时 间 的 增加 逐步 将 防火 墙 的 过 滤 规 则 积累 完善 。 这 种 过 滤 规 则 的 逐步 设 
置 和 完善 对 用 户 是 很 直观 的 ,但 可 能 导致 某 些 普 通用 户 的 抱怨 。 

@ 默认 设置 为 "放行 ”>: 如 果 收 到 的 IP 包 的 属性 没有 被 防火 墙 规则 明确 规定 为 禁止 ,就 
将 此 包 转 发 放行 。 这 种 策略 让 防火 墙 用 户 使 用 很 方便 ,但 是 安全 性 降低 了 。 因 为 只 有 当 每 
个 新 的 安全 威胁 产生 之 后 ,系统 管理 员 才 能 对 它 做 出 相应 的 规则 修改 设置 ,此 时 可 能 已 受到 
破坏 了 。 

1. 包 过 滤 防 火 墙 的 参数 配置 举例 

表 9.1 给 出 了 一 些 包 过 滤 规 则 设置 的 简单 例子 。 表 中 每 组 规则 的 匹配 检测 顺序 是 从 上 
到 下 进行 的 。 表 格 中 的 星 号 ”* ”表示 适合 于 “任何 值 ”。 假 设防 火 墙 使 用 的 默认 设置 为 “ 丢 

(1) 参数 配置 A: 对 发 给 内 网 邮件 服务 器 的 包 放 行 (端口 25 是 简单 邮件 传输 协议 
CSMTP) 服 务 器 的 端口 号 ) ,但 只 针对 一 台 内 部 网 关 主 机 。 同 时 .对 来 自 外 网 的 主机 131. 34. 
3.2 的 访问 是 阻止 的 ,因为 此 主机 有 利用 电子 邮件 发 送 海量 文件 攻击 的 历史 记录 , 即 它 是 黑 
名 单 成 员 。 

(2) 参数 配置 B: 这 是 默认 的 防火 墙 初始 策略 的 明确 表述 ,初始 状态 是 将 所 有 的 进出 包 
阻 断 。 

(3) 参数 配置 C: 此 设置 规定 了 任何 内 部 网 络 的 主机 都 可 以 访问 外 部 电子 邮件 服务 器 
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表 9.1 包 过 滤 路 由 器 参数 配置 举例 
(1) 参数 配置 A 
措施 | 内 网 主机 | 端口 | 外 网 主机 | 端口 说 明 
此 外 部 主机 不 可 信任 ,阻止 与 其 通信 , 黑 名 单 


阻 断 x * |131.34.3.2 


放行 | 内 部 网 关 | 25 x 允许 外 部 主机 访问 内 部 的 SMTP 邮件 服务 器 (端口 25) 
(2) 参数 配置 B 
措施 | 内 网 主机 | 端口 | 外 网 主机 
阻 断 * x * 
(3) 参数 配置 C 
措施 | 内 网 主机 | 端口 | 外 网 主机 
放行 * * * 


说 明 
包 过 滤 防 火 墙 的 默认 的 初始 设置 


说 明 
允许 内 网 主机 访问 外 网 的 SMTP 邮件 服务 器 


措施 | 源 主机 | 端口 | 目的 主机 说 明 

放行 | 内 网 主机 | 、 内 网 主机 发 送 包 到 外 网 SMTP 邮件 服 
| 他 地 址 务 器 

放行 pi 放行 外 邮件 服务 器 对 内 部 主机 的 


措施 | 源 主 机 | 端口 | 目的 主机 | 端口 


放行 | 内 网 主机 | * : 内 网 主机 向 任何 外 网 主机 的 通信 
放行 | * * 外 部 对 内 网 主机 指 
yy ， 内 网 与 外 网 的 非 服务 器 主机 的 通信 ,用 


高 端口 号 


收发 电子 邮件 。 一 个 具有 信 宿 端口 号 为 25 的 TCP 包 可 以 被 转发 给 外 网 的 SMTP 邮件 服 
务 器 。 此 设置 存在 的 问题 是 : 公认 端口 号 25 一 般 就 表示 此 包 是 发 给 SMTP 邮件 服务 器 的 ， 
但 是 外 网 的 主机 也 可 以 将 非 邮件 服务 器 的 应 用 端口 配置 为 25 。 如 果 防 火 墙 使 用 了 这 样 的 
设置 ,一 个 外 网 的 攻击 者 能 够 将 一 个 TCP 包 的 信 源 端口 号 设 为 25 ,伪装 成 是 外 部 SMTP 邮 
件 服务 器 发 给 内 网 主机 的 响应 ,从 而 欺骗 防火 墙 ,进入 到 内 网 的 主机 。 

(4) 参数 配置 D: 此 规则 设置 可 以 实现 在 上 述 参数 配置 C 中 所 不 能 实现 的 目标 。 此 设 
置 利用 了 建立 TCP 连接 的 三 次 握手 的 一 个 属性 ( 见 第 5 章 图 5. 8 中 TCP 头 部 控制 字段 ) : 
一 旦 内 网 的 主机 与 外 网 的 主机 建立 了 TCP 连接 ,外 网 主机 将 会 向 内 网 主机 发 回 一 个 
TCP 的 控制 字段 为 ACK 的 确认 包 。 因 此 ,此 规则 说 明 它 将 允许 信 源 IP 地 址 是 内 部 主机 之 
一 ,而 信和 宿 端 口号 为 25 的 IP 包 从 防火 墙 出 去 。 它 也 允许 一 个 信 源 端口 号 为 25,TCP 控制 
字段 中 含 ACK 确认 标识 的 IP 包 从 外 网 进入 内 网 。 注 意 在 此 规则 中 用 公认 端口 号 明确 地 
指定 了 信 源 和 信 宿 的 应 用 系统 ,对 外 网 主机 的 IP 地 址 无 明确 限制 。 

(5) 参数 配置 下 : 大 部 分 传统 的 服务 器 ( 即 被 攻击 目标 ) 使 用 的 是 低 端口 号 (公认 端口 号 
小 于 1023) ,大 部 分 向 外 网 发 出 的 请 求 使 用 高 端口 号 (大 于 1023) 。 因 此 本 设置 将 放行 如 下 
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数据 包 : 四 从 内 网 发 出 的 包 ; @ 外 网 对 内 网 主机 发 出 的 连接 请 求 返回 的 响应 包 ; 图 发 向 内 
网 主机 的 大 于 1024 高 端口 号 的 包 。 此 方案 要 求 只 有 正确 地 使 用 端口 号 才能 配置 好 系统 。 
配置 下 表明 了 用 包 的 网 络 层 参数 来 判断 应 用 层 内 容 是 否 该 放行 较 困 难 , 特 别 是 很 多 互联 网 
的 新 型 应 用 服务 端 也 采用 了 高 端口 号 。 

2. 网 络 层 包 过 滤 防火 墙 的 弱点 

包 过 滤 防 火 墙 的 优点 是 比较 简单 ,对 用 户 是 透明 的 、 转 发 速度 快 ,但 有 如 下 弱点 : 

(1) 因为 包 过 滤 防 火 墙 并 不 检查 包 中 高 层 的 数据 , 它 不 能 检测 出 那些 利用 了 应 用 层 漏 
洞 进行 的 攻击 。 包 过 滤 防 火 墙 不 能 阻止 某 些 特殊 的 应 用 层 指令 ,如 果 一 个 包 过 滤 防 火 墙 允 
许 了 一 个 给 定 的 应 用 ,那么 在 那个 应 用 中 所 有 的 包 都 将 被 放行 。 例 如 : 若 黑客 利用 第 6 章 
表 6. 2 中 http 请 求 的 某 些 方法 对 Web 服务 器 进行 恶意 破坏 或 攻击 ,那么 包 过 滤 防 火 墙 是 
不 能 识别 的 。 

(2) 因为 包 过 滤 防 火 墙 可 用 于 决策 判断 的 参数 很 有 限 , 它 的 日 志 功 能 也 是 有 限 的 。 日 
志 记 录 的 信息 与 访问 控制 决策 的 参数 是 相同 的 ( 信 源 和 信 宿 的 IP 地 址 、 端 口号 和 传输 层 类 
型 等 ) 。 包 过 滤 防 火 墙 不 能 识别 那些 IP 地 址 和 端口 号 不 断 变换 的 新 型 网 络 应 用 ,如 基于 
P2P 协议 的 各 种 应 用 类 型 。 

(3) 大 部 分 包 过 滤 防 火 墙 不 支持 先进 的 用 户 认证 技术 。 这 主要 是 由 于 它 缺乏 对 包 中 上 
层 信 息 处 理 的 功能 。 

(4) 它们 对 于 那些 利用 TCP/IP 的 规范 和 协议 栈 的 缺陷 来 进行 的 攻击 通常 是 无 力 的 ， 
如 网 络 层 的 IP 地 址 诱骗 攻击 等 。 很 多 包 过 滤 防 火 墙 不 能 检测 出 那些 主机 地 址 被 窜改 过 的 
IP 包 。 地 址 诱骗 攻击 通常 被 人 侵 者 用 来 绕 过 防火 墙 内 设置 的 安全 控制 策略 。 

(5) 由 于 进行 访问 控制 决策 中 使 用 的 参数 很 少 ,对 包 过 滤 防 火 墙 的 设置 不 当 将 很 容易 
导致 安全 性 受到 减弱 。 实 际 中 网 络 防火 墙 的 判断 规则 数量 很 多 ,如 果 这 些 规则 之 间 相 互 存 
在 逻辑 错误 或 自 相 矛盾 ,将 会 放行 那些 按照 安全 策略 本 不 该 放行 的 数据 包 , 这 就 需要 管理 员 
对 规则 参数 进行 认真 细致 的 分 析 和 设置 。 

3. 对 包 过 滤 防火 墙 的 攻击 和 对 抗 方法 

(1) IP 地 址 欺骗 : 即 信 侵 者 从 外 网 向 内 网 发 送 的 IP 包 中 的 信 源 IP 地 址 是 一 个 内 网 的 
主机 地 址 。 攻 击 者 希望 使 用 这 样 的 假 地 址 将 能 穿 透 那些 仅 使 用 了 简单 的 源 地 址 安全 策略 的 
防火 墙 系统 ,在 此 类 系统 中 对 凡是 来 自 内 网 的 信任 主机 的 包 都 被 放行 。 对 抗 方法 是 抛弃 那 
些 从 外 网 接口 收 到 的 ,同时 信 源 IP 地 址 又 是 内 网 地 址 的 包 。 

(2) 源 路 由 攻击 : 当 发 现 内 网 有 多 个 网 络 出 口 及 其 漏洞 后 , 信 源 主机 在 发 出 的 IP 包头 
部 的 可 选项 中 ( 见 图 4. 22) ,自行 定义 了 让 包 穿 过 网 络 时 所 要 经 过 的 路 径 ,攻击 者 希望 这 种 
方法 将 能 够 绕 开 那些 对 源 路 由 信息 不 进行 分 析 的 防火 墙 。 对 抗 源 路 由 攻击 的 方法 是 让 防火 
墙 抛弃 所 有 使 用 了 源 路 由 信息 的 IP 包 。 

(3) 微小 分 段 攻击 : 入 侵 者 利用 IP 包 可 分 段 传输 的 特性 ( 见 图 4. 20) ,将 一 个 IP 包 分 
为 多 个 很 小 的 数据 段 ,将 一 个 TCP 头 部 的 信息 分 解 为 很 多 相互 独立 的 包 碎 片 。 这 种 攻击 方 
法 可 绕 开 那些 靠 TCP 头 部 信息 进行 过 滤 的 防火 墙 规则 。 攻 击 者 希望 包 过 滤 路 由 器 只 检查 
放行 IP 包 的 第 一 个 分 段 ,而 对 剩余 的 分 段 不 检查 全 部 放行 (因为 其 余 分 段 的 IP 包 的 标志 
ID 号 都 相同 ) 。 对 抗 微 小 分 段 攻击 的 方法 是 : 抛弃 那些 协议 类 型 是 TCP ,而 IP 头 数据 中 的 
分 解 标 记 字 段 设 为 1 的 所 有 包 , 见 第 4.2 节 图 4.20 中 关于 IPv4 包 的 分 段 处 理 。 
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9.2.2 网 络 层 的 全 状态 检测 防火 墙 


网 络 层 的 包 过 滤 防 火 墙 只 利用 单个 IP 包 的 头 部 信息 进行 过 滤 决 策 ,不 考虑 包 内 部 高 层 
的 信息 以 及 不 同 包 之 间 的 逻辑 关系 。 大 部 分 运行 于 TCP 之 上 的 标准 应 用 协议 都 是 按照 客 
户 / 服 务 器 (client/server) 模 式 工作 的 ,对 于 特定 类 型 的 网 络 通 信使 用 传统 的 公认 端口 地 址 ， 
因此 “无 状态 ”的 包 过 滤器 可 以 根据 包 中 的 端口 号 来 识别 和 控制 这 些 应 用 类 型 的 数据 流 , 例 
如 Web 浏览 .网 络 打 印 、 邮 件 传输 、FTP 等 ,如 果 在 包 过 滤 防 火 墙 两 端的 主机 都 使 用 了 非 标 
准 的 端口 号 , 它 就 不 能 识别 了 。 

例如 ,在 简单 邮件 传输 协议 (SMTP) 中 ,客户 机 与 服务 器 建立 TCP 连接 后 传送 电子 邮 
件 报 文 。 服 务 器 接收 到 电子 邮件 并 把 它们 放 到 相应 的 用 户 信 箱 中 。SMTP 的 工作 是 通过 
在 客户 机 和 服务 器 之 间 建 立 一 个 TCP 连接 来 进行 ,服务 器 的 端口 号 是 25。 而 SMTP 客户 
机 的 TCP 端口 号 是 一 个 介 于 1024 和 16 383 之 间 的 随机 数 , 它 由 SMTP 客户 机 产生 
( 见 图 6. 14)。 如 果 邮 件 服务 器 放 在 内 网 中 ,那么 包 过 滤 防 火 墙 必须 允许 所 有 有 具有 TCP 高 
端口 号 的 数据 包 进 入 内 网 ,这 就 产生 了 一 个 隐患 ,给 未 经 授权 的 用 户 一 个 可 乘 之 机 。 

1990 年 AT&T 贝尔 实验 室 的 三 位 工程 师 开 发 了 网 络 层 的 全 状态 检测 包 过 滤 防 火 墙 。 
它 具 有 包 过 滤 防 火 墙 的 功能 ,另外 还 要 分 析 IP 包 在 一 个 通信 进程 中 的 位 置 。 它 在 状态 表 中 
记录 下 所 有 经 过 防火 墙 转发 的 IP 包 的 通信 逮 辑 特性 , 当 收 到 一 个 新 的 IP 包 后 , 它 判 断 该 包 
是 否 是 用 于 启动 一 个 新 的 连接 ? 还 是 属于 一 个 已 经 建立 了 连接 的 通信 进程 中 的 一 部 分 ,或 
者 是 一 个 不 符合 通信 逻辑 的 异常 包 。 因 此 这 技术 也 称 为 “全 状态 检测 防火 墙 ”(Stateful 
Packet Inspection Firewall) 。 在 这 类 防火 墙 中 设置 了 常规 的 静态 检测 规则 ,还 增加 了 连接 
状态 的 判断 准则 ,用 于 对 IP 包 的 进一步 识别 。 

例如 : 常规 的 客户 机 与 服务 器 之 间 建 立 TCP 连接 的 三 次 握手 数据 包 的 顺序 是 : SYN、 
SYN 十 ACK、ACK( 见 图 5. 9)。 如 果 在 防火 墙 的 状态 记录 表 中 并 没有 曾经 向 外 网 转发 过 
SYN 包 的 情况 下 , 却 收 到 了 一 个 来 自 外 网 的 SYN 十 ACK 的 包 , 这 个 包 的 出 现 就 违反 了 
TCP 的 握手 规程 ,应 当 将 它 抛弃 。 

全 状态 检查 防火 墙 能 够 用 于 检测 那些 非 正常 的 连接 ,以 及 对 付 某 些 类 型 的 拒绝 服务 
攻击 。 

全 状态 检测 包 过 滤 防 火 墙 内 部 有 一 个 转发 过 的 与 外 网 TCP 连接 的 记录 表 , 如 表 9.2 所 
示 。 表 中 对 于 每 个 当前 已 建立 的 连接 都 有 一 个 记录 条 目 。 全 状态 包 过 滤器 只 人 允许 那些 满足 
此 记录 中 的 任何 一 个 条 目的 高 端口 号 的 数据 流 进入 内 网 , 它 不 仅 只 是 孤立 地 判断 一 个 包 是 
否 该 放行 ,而 还 要 考察 此 包 是 否 属于 记录 表 中 一 个 已 建立 连接 的 进程 中 的 一 个 通信 步 又 。 
因此 它 对 异常 包 的 识别 能 力 比 无 状态 包 过 滤 防 火 墙 好 。 


表 9.2 全 状态 检测 防火 墙 的 通信 状态 记录 表 举 例 


源 IP 地 址 目的 卫 地 址 


192. 168. 1. 100 210. 9. 88. 29 已 连接 


192. 168. 1. 102 216. 32. 42. 123 已 连接 


192. 168. 1. 101 173. 66. 32. 122 
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续 表 


源 IP 地 址 目的 卫 了 地址 


192. 168. 1. 106 177. 231. 32. 12 已 连接 


223. 43. 21. 231 192. 168. 1.6 80 | 已 连接 


219. 22. 123. 32 192. 168. 1.6 已 连接 


210. 99. 212. 18 192. 168. 1.6 


9.2.3 应 用 层 防 火 墙 


网 络 层 防 火 墙 仅 利用 IP 包头 部 的 信息 作为 转发 或 抛弃 的 判断 依据 , 它 不 能 识别 应 用 层 
数据 中 含有 恶意 程序 的 数据 包 。 另 一 方面 ,近年 来 出 现 了 大 量 的 非 互 联网 官方 标准 的 应 用 
技术 ,例如 ,网 络 可 视 通 话 、 迅 雷 数据 下 载 `.QQ 聊天 、 网 络 游戏 等 应 用 ,它们 是 企业 自行 开发 
的 自主 知识 产权 的 应 用 协议 ,并 受到 了 大 量 网 络 用 户 的 欢迎 。 这 些 应 用 对 局 域 网 的 负面 影 
响 是 : 数据 流量 巨大 ,往往 挤占 了 很 多 单位 局 域 网 的 有 限 传输 带宽 ,干扰 了 部 门 的 正常 工 
作 ,并 产生 了 很 多 信息 安全 隐患 。 对 这 些 非 互联 网 官方 标准 的 网 络 数据 流 , 用 传统 的 包 过 滤 
防火 墙 检测 技术 是 无 法 识别 的 。 

从 2009 年 以 来 ,很 多 安全 设备 制造 商 研发 生产 了 一 些 更 高 级 的 防火 墙 ,能 对 各 种 标准 
协议 和 非 标 准 协议 的 应 用 层 数 据 进行 自动 识别 ,识别 类 型 可 达到 数 百 甚 至 上 千 种 。 一 些 高 
级 的 防火 墙 对 很 多 应 用 类 型 的 IP 包 , 不 是 简单 地 采用 抛弃 或 放行 的 措施 ,而 是 通过 对 包 中 
内 容 的 分 析 处 理 , 去 除 包 中 的 违反 安全 规则 的 数据 成 分 后 ,将 包 仍然 转发 给 用 户 , 不 影响 用 
户 的 正常 使 用 (例如 , 仅 删 除 掉 客 户 机 下 载 的 Web 网 站 首页 中 的 广告 图 片 和 链接 等 )。 这 些 
具有 先进 功能 的 高 级 防火 墙 也 被 称 为 “下 一 代 防 火 墙 >。 由 于 它们 的 工作 原理 是 基于 对 各 
种 新 的 不 良 网 络 通信 属性 的 研究 和 分 析 判 断 , 人 们 寄 硕 望 于 这 种 高 级 防火 墙 的 发 展 来 增强 
对 单位 局 域 网 的 安全 防护 。 

应 用 层 防 火 墙 工作 于 TCP/IP 协议 栈 的 应 用 层 , 能 够 检测 分 析 各 类 网 络 应 用 之 间 传 递 
的 数据 , 当 抛弃 不 满足 过 滤 规 则 的 包 的 时 候 , 它 并 不 向 源 地 址 主机 发 送 通知 ,这 与 路 由 器 不 
同 ,因为 当 路 由 器 抛 去 一 个 IP 包 后 要 向 源 主 机 返回 一 个 通知 。 应 用 层 防 火 墙 对 转发 数据 包 
的 过 滤 检测 方法 有 如 下 几 类 : 

(1) 对 IP 包 内 标准 应 用 协议 传输 的 字符 或 字符 串 进行 匹配 检测 。 例 如 ,FTP、Telnet、 
DNS、HTTP、TCP、UDP、POP3 和 SMTP 等 。 例如 ,车 要 过 滤 含 有 Virus 字样 的 电子 邮件 ， 
可 以 在 POP3 协议 数据 过 滤 规 则 中 将 它 设 为 过 滤 关 键 词 。 

(2) 可 以 识别 和 分 析 应 用 层 的 内 容 , 检 测 应 用 数据 中 感染 的 木马 和 病毒 等 恶意 程序 。 
能 够 识别 那些 利用 合法 的 应 用 协议 来 从 事 破坏 行为 的 数据 包 。 

(3) 能 够 识别 那些 虽然 采用 了 标准 应 用 协议 ,但 是 应 用 服务 端 采 用 了 非 标准 端口 地 址 
的 数据 包 。 例 如 , 可 识别 过 滤 来 自 HTTP 服务 器 的 端口 号 不 是 80 的 数据 包 。 

(4) 能 够 识别 那些 虽然 采用 了 标准 应 用 协议 ,但 是 进程 逻辑 异常 的 数据 包 。 如 : 在 防 
火 墙 的 记录 中 没有 曾经 向 外 网 转发 过 DNS request 的 记录 ,但 是 却 从 外 网 收 到 了 一 个 DNS 
response 的 响应 包 , 这 就 属于 应 用 协议 逻辑 异常 的 IP 包 .应当 抛 弃 。 
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(5) 应 用 层 防火 墙 可 判断 一 个 进程 是 否 应 当 接受 ,并 给 予 连接 。 它 分 析 套 接 字 调 用 
(hook into socket calls) 的 进程 来 过 滤 位 于 OSI 模型 的 应 用 层 之 间 的 连接 ,因此 也 称 为 套 接 
字 过 滤器 (socket filters) 。 应 用 层 防 火 墙 的 过 滤 准 则 是 “基于 进程 的 过 滤 ”, 而 不 是 像 包 过 
滤 防 火 墙 那 种 "基于 端口 地 址 ”的 过 滤 。 通 常 , 在 判定 是 否 接受 一 个 进程 的 连接 之 前 , 它 在 计 
算 机 屏幕 上 给 用 户 一 个 提示 ,由 用 户 的 取舍 来 定义 对 该 进程 是 否 应 当 放行 。 例 如 ,在 用 户 未 
进行 任何 操作 的 情况 下 , 却 发 现 主机 自动 地 向 外 发 送 一 个 进程 的 连接 请 求 时 ,防火 墙 给 用 户 
一 个 提示 “ 某 程 序 要 向 外 联系 ,是 否 放 行 ?”, 由 用 户 来 确定 该 进程 是 否 应 当 允 许 或 阻止 ,并 且 
今后 是 否 照 此 处 理 。 例 如 ,阻止 主机 上 安装 的 某 些 合法 应 用 程序 主动 地 向 外 网 主机 发 送 软 
件 的 版 本 ,序列 号 .主机 地 址 等 信息 。 

(6) 大 部 分 应 用 层 防 火 墙 与 包 过 滤 防 火 墙 等 组 合 使 用 。 原 理 上 , 它 应 能 够 检测 和 判别 
所 有 不 需要 的 应 用 层 的 数据 流 , 然 后 阻 断 其 进入 内 网 。 但 是 要 做 到 完全 的 监测 识别 是 不 容 
易 的 ,特别 是 互联 网 上 出 现 了 很 多 新 的 非 标 准 应 用 协议 ,一 些 企业 自主 知识 产权 的 应 用 协议 
原理 往往 是 不 公开 的 。 对 新 的 非 传统 的 应 用 协议 的 分 析 识 别 、 安 全 性 判定 有 一 个 滞后 的 时 
期 。 这 也 导致 应 用 层 防火 墙 的 过 滤 规 则 变 得 越 来 越 复杂 。 

检查 和 过 滤 包 中 应 用 层 的 所 有 不 安全 内 容 , 会 延迟 对 数据 包 的 转发 速度 。 基 于 软件 的 
应 用 层 防 火 墙 比 基于 硬件 的 全 状态 检测 防火 墙 要 慢 , 但 它们 相互 组 合 后 会 使 系统 更 安全 和 
可 靠 。 


9.2.4 堡垒 主机 


保 垒 主机 (bastion host) 指 网 络 中 专门 用 于 安装 各 种 应 用 服务 软件 的 计算 机 平台 , 即 各 
种 专用 服务 器 主机 。 在 堡垒 主机 上 可 安装 的 服务 类 型 是 : Web 服务 器 .DNSCDomain Name 
System) 域 名 服务 器 .SMTP 电子 邮件 服务 器 .FTP(CFile Transfer Protocol) 服务器 、Proxy 
server 代理 服务 器 .作为 诱饵 的 蜜 饶 主 机 (Honey pot、VPN(Virtual Private Network ) 服务 
器 .深度 安全 的 堡垒 主机 (Deep-Secure Bastion) 用 户 和 人 网 的 身份 认证 服务 器 等 。 

堡垒 主机 在 向 内 网 和 外 网 的 主机 提供 访问 或 接 人 服务 的 同时 ,一般 都 暴露 在 受 攻击 风 
险 较 高 的 环境 中 ,它们 往往 被 设置 在 私有 网 络 的 DMZ(Demilitarized Zone) 非 军事 区 的 公共 
一 侧 , 较 少 受到 网 络 防火 墙 等 安全 设备 的 保护 。 堡 又 主机 是 网 络 系统 安全 的 重要 组 成 部 分 。 
由 于 它们 工作 在 不 安全 的 环境 中 ,必须 对 它们 的 设计 和 配置 给 予 极 大 的 关注 ,以 减少 被 恶意 
渗透 的 机 会 。 

堡垒 主机 在 网 络 中 有 两 种 配置 方式 。 第 一 种 方式 配置 在 两 个 防火 墙 中 间 ,一 个 是 与 外 
部 网 络 连 接 的 防火 墙 , 另 一 个 是 与 内 部 网 络 连接 的 防火 墙 ,将 堡垒 主机 设置 在 二 者 之 间 的 
DMZ 非 军事 区 。 例 如 ,在 图 9. 5 中 ,将 安装 服务 器 群 的 DMZ 子 网 接 在 防火 墙 的 一 个 内 网 
端口 。 在 小 型 网 络 中 往往 只 有 一 个 防火 墙 , 那 么 堡垒 主机 可 设置 在 防火 墙 之 外 。 

堡 令 主机 还 可 分 为 多 属 主机 (Multi-Homed Hosts) 和 屏蔽 主机 (Screened Hosts)。 双 
属 主机 有 两 个 网 络 连接 口 ,通常 设置 一 个 防火 墙 和 一 种 服务 。 屏 项 主机 是 专门 用 于 运行 防 
火 墙 功能 的 一 台 双 属 主机 ,防火 墙 和 路 由 器 也 可 被 看 成 是 堡垒 主机 。 可 通过 代理 命令 
Proxy Command 和 Open SSH 加 密 通 信 技 术 对 堡垒 主机 进行 远程 设置 (参看 第 11 章 
青色 
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因为 堡垒 主机 需要 能 对 来 自 外 部 网 络 的 访问 提供 良好 的 服务 ,还 必须 经 受 住 各 种 各 样 
的 网 络 攻击 。 因 此 在 安全 性 要 求 较 高 的 网 络 中 ,设置 在 一 台 堡 又 主机 上 的 服务 应 当 尽 可 能 
单一 ,不 要 将 多 种 服务 放 在 同一 台 堡垒 主 机 上 。 以 下 是 配置 堡垒 主机 的 一 些 建 议 : 

(1) 停止 和 利 载 堡 艰 主机 上 的 不 需要 的 服务 和 后 台 程 序 。 

(2) 停止 或 印 载 任 何不 需要 的 用 户 账 户 。 

(3) 停止 或 印 载 任 何不 需要 的 网 络 协议 。 

(4) 正确 配置 登录 和 检查 日 志 , 查 找 任何 可 能 的 攻击 。 

(5) 在 堡垒 主机 上 安装 人 侵 检测 系统 (Intrusion Detection System,IDS) 。 

(6) 及 时 对 堡垒 主机 的 操作 系统 打上 最 新 的 补丁 。 

(7) 尽 可 能 地 将 用 户 账户 锁定 ,防止 非法 算 改 账户 口令 ,特别 是 管理 员 等 关键 账户 的 
锁定 。 
(8) 关闭 保 垒 主机 上 的 所 有 不 需要 和 不 用 的 传输 层 端口 。 

(9) 使 用 加 密 通信 的 方法 远程 登录 与 管理 堡垒 主机 上 的 服务 器 ,例如 ,SSLVTLS、 
SSH 等 。 


9.2.5 代理 服务 器 


Proxy server 代理 服务 器 安装 在 堡垒 主机 平台 上 ,是 网 络 管理 员 应 当 重 视 的 网 络 安全 
中 的 一 个 关键 点 。 代 理 服务 器 可 以 设置 在 用 户 的 本 地 网 中 ,也 可 设置 在 互联 网 上 介 于 用 户 
和 目的 服务 器 之 间 的 各 种 地 方 。 代 理 服务 可 分 为 3 种 : 转发 式 代 理 服务 器 、 开 放 式 代理 服 
务 器 和 反 向 式 代理 服务 器 。 它 们 的 一 般 共 性 如 下 : 

(1) 代理 服务 器 的 硬件 平台 上 安装 的 应 当 是 操作 系统 的 安全 版 本 ,使 它 成 为 一 个 受信 
任 系统 。 

(2) 代理 服务 器 上 只 安装 网 络 管理 员 认 为 是 最 基本 的 服务 。 其 中 包括 TELNET、 
DNS、FTP、SMTP 之 类 的 代理 服务 ,或 用 户 认证 等 。 

(3) 代理 服务 器 在 允许 和 代理 一 个 用 户 访问 外 网 的 Web 服务 之 前 ,可 以 进行 额外 的 
认证 。 

(4) 每 个 代理 服务 被 配置 了 只 允许 访问 特定 的 主机 系统 。 这 意味 着 ,有 限 的 指令 /特性 
集 只 能 用 于 受 保护 网 络 的 一 个 子 系统 。 

(5) 每 个 代理 服务 对 所 有 的 数据 流 、 每 个 连接 ,以 及 每 个 连接 的 持续 时 间 进 行 详细 的 日 
志 记 录 , 保 存 详细 的 审计 信息 。 审 计 日 志 对 于 发 现 和 确认 入 侵 攻击 是 一 个 重要 的 工具 。 

(6) 每 个 代理 服务 模块 是 一 个 很 小 的 软件 包 , 特 别 的 设计 便于 网 络 安全 防护 。 因 为 它 
相对 较 简单 ,检测 它 的 代码 的 安全 缺陷 也 较 容易 。 例 如 ,一 个 典型 的 UNIX 邮件 应 用 软件 
可 能 包含 20 000 多 条 代码 ,而 一 个 邮件 代理 服务 软件 的 代码 仅 1000 条 多 一 点 。 

(7) 安装 在 同一 个 堡垒 主机 中 的 多 个 代理 服务 是 相互 独立 的 。 如 果 其 中 任何 代理 服务 
的 操作 有 问题 ,或 者 发 现 了 一 个 潜在 的 脆弱 性 ,可 以 将 此 代理 服务 务 载 ,而 不 会 影响 到 其 他 
代理 服务 的 运行 。 同 样 地 ,如 果 有 些 用 户 要 求 支持 新 的 代理 服务 ,网 络 管理 员 也 能 够 容易 地 
将 所 要 求 的 代理 服务 安装 在 堡垒 主 机 上 。 

(8) 一 个 代理 服务 软件 运行 时 通常 不 进行 磁盘 访问 ,不 去 读本 地 系统 的 初始 配置 文件 等 。 
这 就 使 得 入 侵 者 很 难 通 过 代理 服务 在 堡 圣 主 机 上 安装 特洛伊 木马 、 嗅 探 器 或 其 他 危险 的 文件 。 
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(9) 每 个 代理 服务 作为 在 堡垒 主机 的 安全 目录 中 的 一 个 无 特权 的 用 户 运行 
( 见 第 9.5 节 ) 。 

1. 转发 式 代理 服务 器 

转发 式 代理 服务 器 (forward proxy) 位 于 局 域 网 中 ,作为 内 网 客户 机 访问 外 网 的 其 他 服 
务 器 资源 的 一 个 中 转 代理 , 见 图 9.1。 首 先 ,客户 机 向 代理 服务 器 发 出 请 求 ,希望 获取 存放 
在 外 网 其 他 服务 器 中 的 资源 ,例如 ,获取 文件 .网 页 、 连 接 等 资源 。 代 理 服 务 器 根据 自己 的 过 
滤 规 则 对 客户 机 的 请 求 进行 认证 评估 ,例如 判断 请 求 中 的 IP 地 址 和 协议 是 否 符合 本 私 网 的 
安全 策略 等 。 如 果 客 户 的 请 求 符合 安全 规则 ,代理 服务 器 就 代表 客户 机 与 外 网 的 相关 服务 
器 建立 连接 ,获取 所 需 资源 ,然后 转发 给 客户 机 。 代 理 服务 器 在 转发 客户 机 的 请 求 以 及 外 网 
服务 器 的 响应 时 ,可 以 改变 其 中 的 信息 。 

当代 理 服务 器 向 内 网 的 客户 转发 了 某 远 端 服务 器 的 资源 后 ,一 般 可 将 这 些 转发 过 的 资 
源 保存 一 个 副本 在 自己 的 高 速 缓存 中 , 若 有 后 续 的 客户 机 再 请 求 获取 同样 的 信息 资源 时 , 代 
理 服务 器 就 直接 将 内 存 中 的 未 超过 有 效 期 的 资源 发 给 客户 ,而 不 需要 再 次 访问 远 端 服务 器 。 
在 各 私有 网 络 中 应 用 了 Web 代理 服务 器 后 ,可 大 大 减轻 对 远 端 中 心服 务 器 的 流量 压力 。 

假设 : 图 9. 1 中 的 私有 网 络 是 中 国教 育 科 研 专 网 (CERNET) ,在 网 络 出 口 处 设置 了 一 
个 专 为 互联 网 中 的 网 站 www. abc. com 的 代理 服务 器 。 当 中 国教 育 科研 专 网 内 某 大 学 校园 
网 的 用 户 要 利用 浏览 器 访问 网 站 www. abc. com 时 ,DNS 服务 器 从 收 到 的 用 户 DNS 请 求 
中 的 源 IP 地 址 判断 出 该 用 户 在 教育 网 内 ,因此 在 返回 给 用 户 的 DNS 响应 中 将 此 域名 解析 
为 教育 网 内 的 代理 服务 器 IP 地 址 ,引导 用 户 浏览 器 访问 该 代理 服务 器 。 转 发 式 代理 服务 器 
在 向 内 网 用 户 转发 www. abc. com 的 网 页 时 ,可 以 完整 转发 ,也 可 以 将 网 页 中 的 某 些 板块 内 
容 更 换 为 用 户 本 地 的 新 闻 或 商品 广告 等 。 


| 私有 网 络 | 
LN 
ss | 
| 转发 式 | Www.abc.com 
| 内 网 用 户 代理 服务 器 | 


图 9.1 位 于 私有 网 络 中 的 转发 式 代 理 服务 器 


因此 ,可 以 利用 Wireshark 捕获 分 析 DNS 响应 包 中 的 丰富 信息 ,判断 自己 收 到 www. 
sina. com. cn 的 网 页 是 否 来 自私 网 中 的 代理 服务 器 或 公 网 中 的 主 网 站 。 设 置 代理 服务 器 的 
必要 性 如 下 : 

@ 出 于 安全 的 需要 ,隐藏 自己 所 代理 的 客户 的 身份 地址、 端口 等 属性 。 

@ Web 代理 服务 器 利用 自己 高 速 缓存 中 已 有 的 信息 向 客户 机 发 回响 应 ,可 加 速 客 户 对 
资源 的 访问 ,减轻 对 目标 服务 器 的 流量 压力 。 

@ 可 以 按照 本 地 网 络 的 安全 访问 控制 策略 ,对 本 地 用 户 的 上 网 行为 和 内 容 进行 管理 。 

@ 可 提供 本 地 网 用 户 和 公司 雇员 对 互联 网 使 用 情况 的 日 志和 审计 。 

@@ 可 以 绕 开 某 些 安全 方面 的 控制 。 

@ 在 转发 信息 之 前 对 其 内 容 进行 扫描 过 滤 , 防 止 恶意 软件 的 传播 。 

@ 对 内 网 发 向 外 网 的 数据 进行 扫描 ,防止 内 网 的 敏感 信息 泄露 。 
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@ 绕 开 或 规避 区 域内 的 某 些 限制 。 

网 关 (Gateway) 是 直接 转发 请 求 和 响应 数据 包 的 代理 服务 器 ,但 它 不 修改 转发 的 信息 ， 
有 时 也 称 为 信道 代理 (Tunneling Proxy) 。 

2. 开放 式 代理 服务 器 

开放 式 代理 服务 器 (Open Proxy) 位 于 互联 网 中 ,接受 来 自 互联 网 任何 地 方 的 客户 的 请 
求 ,进行 相 应 的 处 理 后 发 给 互联 网 上 的 其 他 服务 器 , 见 图 9.2。 任 何 互联 网 的 用 户 都 可 以 访 
问 开放 式 代理 服务 器 ,由 它 执行 中 继 访问 服务 器 。 互 联网 上 有 成 千 上 万 的 开放 式 代 理 服务 
器 。 一 个 匿名 的 开放 式 代理 可 以 允许 用 户 在 浏览 Web 服务 器 的 时 候 替 换 掉 它们 自己 的 IP 
地 址 ,或 者 使 用 其 他 的 互联 网 服务 。 


开放 式 
代理 服务 器 
图 9.2 位 于 互联 网 上 的 开放 式 代理 服务 器 


互联 网 


Www.abc.com 


互联 网 用 户 


3. 反 向 式 代理 服务 器 

反 向 代理 服务 器 (Reverse Proxy) 设 置 于 私有 网 中 ,接收 来 自 外 部 互联 网 的 用 户 请 求 ， 
将 其 转发 到 位 于 内 网 的 各 个 应 用 服务 器 ,位 于 外 网 的 互联 网 用 户 不 会 意识 到 内 网 的 存在 , 见 
图 9.3。 
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图 9.3 位 于 私有 网 络 内 的 反 向 式 代理 服务 器 


例如 ,网 络 银 行 的 各 种 业务 分 别 由 内 网 中 各 个 不 同 的 服务 器 执行 ,但 是 统一 经 过 反 向 式 
代理 服务 器 接 入 互联 网 ,对 来 自 公 网 的 客户 提供 访问 。 对 于 外 网 的 客户 机 看 来 反 向 代理 服 
务 器 就 是 他 所 希望 访问 的 那 台 Web 服务 器 。 外 来 的 请 求 被 转发 给 内 网 的 一 个 或 多 个 服务 
器 处 理 后 ,所 有 的 响应 也 是 通过 反 向 代理 服务 器 转发 给 外 网 的 客户 。 因 此 反 向 代理 服务 器 
安装 在 内 部 服务 器 的 附近 , 它 的 服务 对 象 是 有 限 数量 的 一 组 内 网 服务 器 。 使 用 反 向 代理 服 
务 器 的 必要 性 如 下 : 

(1) 加 密 或 SSL 协议 加 速 : 在 基于 安全 套 接 层 /传输 安全 协议 (SSL/TLS) 的 安全 网 站 
中 (例如 网 络 银行 网 站 等 ),SSL 协议 的 加 密 和 认证 工作 通常 不 是 由 Web 服务 器 自己 实施 
的 ,而 是 由 装备 了 SSL 加 速 硬件 的 反 向 代理 服务 器 来 实施 (参看 第 11. 2 节 )。 一 台 SSL 代 
理 服 务 器 可 以 向 任意 数量 的 外 网 客户 主机 提供 SSL 协议 的 认证 与 加 密 处 理 , 减 轻 了 内 网 中 
各 服务 器 的 负担 。 不 利 的 方面 是 ,位 于 SSL 代理 服务 器 后 面 的 所 有 内 网 服务 器 都 只 能 共享 
一 个 DNS 域名 ,以 及 SSL 连接 的 公 网 IP 地址。 这 个 问题 可 以 通过 X. 509 证 书 中 的 主 宿主 
名 扩展 (Subject Alt Name) 来 部 分 地 解决 。 
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(2) 负载 均衡 : 反 向 代理 服务 器 能 够 将 网 络 访问 流量 均衡 地 分 配给 几 个 内 网 的 Web 服 
务 器 ,每 个 Web 服务 器 负责 自己 应 用 领域 的 服务 。 因 此 , 反 向 代理 服务 器 就 需要 将 在 互联 
网 上 公开 的 每 个 网 页 的 URL 转换 为 内 网 的 URL 地 址 。 

(3) 服务 /缓存 网 页 中 的 静态 内 容 : 将 网 页 中 的 静态 内 容 ( 网 页 中 的 框架 图 片 等 相对 不 
变 的 内 容 ) 缓 存 到 反 向 代理 服务 器 中 ,可 以 减轻 主 Web 服务 器 的 负担 。 

(4) 网 页 内 容 压 缩 : 反 向 代理 服务 器 可 以 通过 优化 和 压缩 网 页 内 容 来 加 速 客户 端 网 页 
的 下 载 。 

(5) 如 果 外 网 客户 用 低速 率 的 信道 访问 高 速 的 内 网 Web 服务 器 , 反 向 代理 服务 器 可 以 
将 网 页 内 容 缓存 起 来 慢 慢 发 给 客户 机 。 此 功能 有 益 于 对 动态 产生 的 网 页 的 访问 。 

(6) 安全 : 代理 服务 器 相当 于 在 网 络 安全 中 增加 了 一 层 防 卫 , 可 以 对 抗 那些 专门 针对 
Web 服务 器 操作 系统 的 攻击 。 但 不 能 对 抗 针对 Web 应 用 的 攻击 。 

(7) 反 向 代理 服务 器 直接 面向 互联 网 ,可 以 通过 它 与 内 网 中 受 防 火 墙 保护 的 服务 器 进 
行 通信 ,这 样 就 提供 了 访问 防火 墙 后 面 的 服务 器 的 某 些 功 能 。 因 此 要 考虑 到 如 果 此 反 向 代 
理 服务 器 受到 渗透 危害 后 ,如 何 保护 内 网 中 其 余 的 网 络 设施 ,因为 此 时 内 网 Web 应 用 就 暴 
露 在 了 互联 网 的 攻击 之 中 。 


9.3 网 络 防火 墙 的 配置 案例 


防火 墙 一 般 有 3 个 接口 : 用 于 连接 互联 网 ; 用 于 隔离 为 互联 网 用 户 提 供 服 务 的 DMZ 区 
(内 有 电子 邮件 服务 器 ,HTTP 服务 器 .FTP 服务 器 等 ); 用 于 连接 内 网 。 根 据 不 同 企业 网 
的 具体 情况 和 安全 防护 策略 ,网 络 防火 墙 有 很 多 不 同 的 配置 方案 ,其 中 常用 的 配置 类 型 
包括 : 

(1) 私有 网 络 采用 防火 墙 与 ANT 的 组 合 , 通 过 租用 专线 接 入 互联 网 的 配置 方案 。 

(2) 企业 网 内 部 的 不 同 局 域 网 之 间 通 过 防火 墙 互 联 的 配置 方案 。 

(3) 远 距离 的 企业 网 之 间 通 过 公 网 建立 IPSec VPN 隧道 ,构成 大 型 虚拟 私有 网 络 的 防 
火 墙 配置 方案 。 

(4) 小 型 企业 网 通过 ADSL 拨号 线路 接 人 互联 网 的 防火 墙 配置 方案 。 

(5) 大 中 型 私有 网 络 中 ,与 IDS 入 侵 检 测 系统 组 合 的 防火 墙 配置 方案 。 

由 于 网 络 防火 墙 的 配置 方案 种 类 较 多 ,本 节 仅 概念 性 地 介绍 两 种 常用 的 配置 ,详细 操作 
方法 参看 防火 墙 产品 的 使 用 手册 。 


9.3.1 防火 墙 与 NAT 功 能 的 组 合 配置 


在 第 4. 1. 3 节 介 绍 了 网 络 地 址 转换 (Cnetwork address translation, NAT) 的 原理 ,实际 
中 通常 将 NAT 的 功能 与 网 络 防 火 墙 组 合 在 同一 台 设 备 ( 堡 垒 主机) 中 。 在 网 络 防火 墙 内 侧 
的 私有 网 络 使 用 私有 网 络 地 址 , 当 内 网 主机 与 外 网 通信 时 ,NAT 将 内 网 IP 包头 部 的 私有 网 
络 地 址 与 外 网 接口 的 公 网 地 址 进行 转换 。 这 样 就 可 对 外 屏蔽 内 网 受 保护 主机 的 IP 地 址 以 
及 网 络 结构 ,可 有 效 地 防止 黑客 从 外 网 对 内 网 的 窥视 与 踩点 。NAT 的 另 一 个 用 途 是 : 由 于 
公 网 IPv4 地 址 数量 有 限 ,不 可 能 给 企业 网 内 的 每 台 主 机 都 分 配 公 网 IP 地 址 ,采用 NAT 后 
可 使 私有 网 络 内 大 量 的 主机 对 外 通信 时 共享 有 限 数量 的 公 网 IP 地 址 。NAT 的 转换 方式 有 
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如 下 几 种 : 

(1) 基于 地 址 对 象 的 源 地 址 转换 : 可 转换 的 地 址 对 象 包括 单个 主机 、 主 机 地 址 范围 和 
子 网 ,对 源 地 址 可 以 进行 的 转换 方式 有 : 将 源 地址 固定 映射 为 某 一 合法 IP 地 址 ,以 及 将 源 
地 址 动态 映射 为 某 一 网 段 或 某 一 地 址 范围 的 地 址 。 

(2) 基于 属性 的 源 地 址 转换 : 当 使 用 网 络 防火 墙 的 某 一 接口 拨号 接 人 ADSL ,或 者 将 某 
一 接口 作为 DHCP 客户 端 时 ,此 时 接口 连接 外 网 ,并 且 由 ISP 或 DHCP 服务 器 动态 分 配 IP 
地 址 , 即 接口 IP 地 址 不 固定 。 当 内 网 用 户 需 要 通过 此 接口 访问 外 网 时 ,可 以 对 接口 进行 属 
性 绑 定 ,在 定义 地 址 转换 规则 时 将 转换 后 地 址 设 定 为 这 些 属 性 的 名 称 。 地 址 转换 时 系统 会 
自动 将 内 网 地 址 转换 为 属性 所 绑 定 的 接口 的 当前 地 址 。 

(3) 基于 来 自 外 网 的 包 中 的 IP 目的 地 址 转换 :由 于 来 自 互联 网 的 对 政府 .企业 的 网 络 
攻击 日 益 频 繁 , 因 此 需要 对 内 网 中 向 外 网 提供 访问 服务 的 关键 设备 进行 有 效 保护 。 采 用 目 
的 地 址 NAT 可 以 有 效 地 将 内 部 网 络 地 址 对 外 隐藏 。 

(4) 基于 端口 的 目的 地 址 转换 : 采用 目的 地 址 NAT 可 以 有 效 地 将 内 部 网 络 地 址 对 外 
隐藏 ,但 有 些 时 候 服务 器 开放 的 应 用 端口 与 用 户 访问 时 使 用 的 端口 (一 般 为 公认 端口 ) 可 能 
不 同 ,需要 进行 端口 的 地 址 转换 。 

(5) 双向 IP 地 址 转换 : 参看 图 9.4 的 具体 案例 ,图 中 企业 私有 网 络 通过 一 台 防 火 墙 和 
专线 接 人 互联 网 ,IP 地 址 配置 见 图 中 的 标注 。 企 业 的 Web 服务 器 设置 在 内 网 中 (IP: 172. 
16. 1.2) ,通过 防火 墙 的 NAT 功能 转换 为 公 网 IP 地 址 202. 99. 27. 201 为 互联 网 用 户 提供 
Web 访问 服务 。 


用 户主 机 : 

El: 互 联网 172.16.1.12 

Eth1:202.99.27.199 Eth0:172.16.1.1 交换 机 a 

、 pp” 管理 主机 : 

互联 网 172.16.1.11 
防火 寺 

Web 服 务 器 的 公 网 IP 地 址 : Web 服 务 器 : 

202.99.27.201 E0:172.16.1.0/24 172.16.1.2 


图 9.4 防火 墙 与 NAT 的 组 合 配置 案例 (双向 卫 地 址 转换 ) 


此 例 的 特点 是 管理 主机 和 Web 服务 器 同 处 于 网 段 172. 16. 1.0/24 中 。 因 为 在 同一 以 
太 网 中 ,管理 主机 与 服务 器 之 间 的 通信 可 以 不 经 过 防火 墙 ,而 经 过 其 他 路 由 实现 。 但 是 当 管 
理 主机 使 用 公 网 地 址 (或 域名 ) 访 问 该 服务 器 时 ,数据 包 的 源 IP 为 管理 主机 私 网 地 址 ,目的 
地 址 为 服务 器 公 网 地 址 。 若 防火 墙 仅 将 目的 公 网 IP 地 址 转换 为 服务 器 的 私 网 地 址 , 则 服务 
器 收 到 数据 包 的 源 IP 为 管理 主机 的 私 网 地 址 .目的 地 址 为 自身 的 私有 网 络 地 址 。 当 其 回应 
管理 主机 时 ,发 出 的 数据 包 会 不 经 过 防火 墙 ,而 经 过 同一 个 以 太 网 的 其 他 路 由 达成 。 此 情况 
会 导致 会 话 无 法 建立 ,因此 需要 设置 双向 地 址 转换 规则 。 


9.3.2 防火 墙 的 路 由 模式 配置 案例 


图 9. 5 是 一 个 私有 网 络 采用 防火 墙 的 路 由 模式 ,租用 专线 接 人 互联 网 的 案例 ,这 是 一 种 
简单 的 网 络 防火 墙 的 配置 ,适用 于 中 小 型 私有 网 络 与 互联 网 的 接 入 。 
1. 此 案例 的 网 络 状况 


(1) 防火 墙 工 作 在 路 由 模式 。Ethl 属于 外 网 区 域 ,接口 的 IP 地 址 为 202. 69. 38. 8; 
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图 9.5 防火 墙 的 路 由 模式 下 通过 专线 访问 外 网 的 配置 案例 


Eth2 属于 DMZ 区 域 ,接口 的 IP 地 址 为 172. 16. 1. 1;Etho 属于 内 网 区 域 ,接口 的 IP 地 址 为 
192. 168. 1. 20。 

(2) 网 络 划分 为 3 个 区 域 : 外 网 内 网 和 DMZ。 管理 主 机 位 于 内 网 中 。 内 网 分 为 3 个 
子 网 , 子 网 地 址 分 别 为 192. 168. 1. 0/24、192. 168. 2. 0/24、192. 168. 3. 0/24。 原 理 参 看 
第 本 1.2 节 。 

(3) 在 DMZ 中 有 三 台 服 务 器 ,一 台 是 HTTP 服务 器 (IP 地 址 : 172. 16. 1. 2) ,一 台 是 
FTP 服务 器 (IP 地 址 : 172. 16.1. 3) ,一 台 是 邮件 服务 器 (IP 地 址 : 172. 16. 1. 4)。 

2. 网 络 用 户 的 需求 

(1) 内 网 的 主机 可 以 任意 访问 外 网 ,也 可 访问 DMZ 中 的 HTTP 服务 器 、 邮 件 服务 器 和 
FTP 服务 器 。 

(2) 外 网 和 DMZ 中 的 主机 不 能 访问 内 网 主机 。 

(3) 允许 外 网 主机 访问 DMZ 中 的 HTTP 服务 器 。 

3. 防火 墙 的 配置 

(1) 为 网 络 防火 墙 的 物理 接口 配置 IP 地 址 。 

(2) 内 网 中 管理 员 通过 浏览 器 登录 网 络 防火 墙 ,设置 为 区 域 对 象 绑 定 属性 ,设置 权限 。 

(3) 定义 地 址 对 象 。 

(4) 定义 访问 规则 。 

(5) 定义 地 址 转换 规则 。 

(6) 定义 路 由 。 

有 具体 操作 参看 防火 墙 产品 的 使 用 手册 。 


9.4 人 侵 检测 与 人 侵 保 护 系 统 


9.4.1 入 侵 检 测 系统 


当前 在 企 事业 单位 的 私有 网 络 中 经 常 出 现 如 下 情况 : 由 于 操作 系统 没有 及 时 安装 新 发 

布 的 安全 补丁 ,造成 服务 器 瘫痪 ;蠕虫 病毒 爆发 .造成 网 络 瘫痪 ,无 法 网 上 办 公 , 邮 件 收 不 了 

网 页 打 不 开 ; 有 的 员工 使 用 BT、 电驴 等 P2P 软件 下 载 电影 或 MP3, 造 成 网 络 拥塞 ,上 网 速度 

奇 慢 无 比 ; 有 的 员工 沉迷 在 QQ 或 MSN 上 聊天 ,或 者 玩 反 疏 精英 、 传 奇 等 网 络 游戏 ,或 者 看 

在 线 视频 ,不 专心 工作 ;由 于 员工 计算 机 被 植 信 间谍 软件 ,导致 公司 机 密 资料 被 穷 ;公司 

Web 服务 器 遭受 SQL 注入 攻击 ,造成 公司 网 站 主页 内 容 被 算 改 ;部 分 员工 的 计算 机 成 为 伪 
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尸 网 络 的 “ 肉 机 ”, 向 外 网 发 起 拒绝 服务 攻击 ,引起 公安 部 门 注意 并 上 门 进行 调查 。 调 查 数据 
显示 ,以 上 事件 呈 逐 年 上 升 趋势 ,给 企业 造成 越 来 越 大 的 直接 和 间接 损失 。 对 于 上 述 威 胁 ， 
传统 的 安全 手段 (如 防火 墙 杀 毒 软 件 等 ) 都 无 法 有 效 进 行 阻止 。 

入 侵 检 测 系 统 (Intrusion Detection System,IDS) 是 用 于 监测 网 络 或 主机 通信 行为 的 设 
备 或 软件 , 当 发 现 有 恶意 的 或 违反 了 网 络 安全 策略 的 行为 就 向 管理 工作 站 发 送 报告 。 入 侵 
保护 的 过 程 包含 了 入侵 检测 以 及 阻止 检测 到 的 安全 事件 进程 两 个 步骤 。 入 侵 检 测 和 入 侵 保 
护 系 统 的 基本 功能 是 : 识别 网 络 数据 流 中 可 疑 的 安全 事件 ,记录 安全 事件 的 信息 ,阻止 恶意 
行为 的 进程 ,将 安全 事件 向 安全 管理 员 报 告 。 在 私有 网 络 中 使 用 IDPS 的 目的 还 有 : 根据 安 
全 策略 识别 网 络 中 的 安全 事件 ,将 产生 的 威胁 记录 存档 , 找 出 违反 安全 策略 的 内 网 用 户 。 
IDPS 也 可 与 用 户 上 网 行为 管理 设备 结合 (参看 第 12 章 ) ,构成 党 、 政 、 军 系统 , 企 事业 单位 私 
有 网 络 的 信息 安全 基础 设施 中 不 可 或 缺 的 组 成 部 分 。 

IDS 的 基本 功能 是 记录 下 检测 到 的 安全 事件 的 相关 信息 ,将 检测 到 的 重要 事件 报告 安 
全 管理 员 ,并 产生 报警 。IDS 不 是 像 防火 墙 那样 串 接 在 网 络 线路 上 ,而 是 当 检测 到 安全 事件 
后 做 出 报警 和 记录 ,同时 可 通过 改变 防火 墙 的 执行 参数 , 阻 断 其 恶意 行为 等 。 

1. 入 侵 检测 系统 的 分 类 

入 侵 检测 系统 的 分 类 有 3 种 方式 ,按照 监测 位 置 和 监测 范围 可 分 为 ， 

(1) 网 络 式 人 侵 检 测 系统 (Network Intrusion Detection System,NIDS): 这 是 一 个 独 
立 的 平台 ,通过 检测 分 析 网 络 数据 流 来 识别 人 侵 行为 。NIDS 网 络 人 侵 检测 系统 连接 到 网 
络 的 HUB 或 交换 机 的 镜像 端口 上 检测 数据 流 。NIDS 的 监测 位 置 必须 是 网 络 的 数据 汇聚 
点 ,通常 是 靠近 网 络 出 口 的 DMZ 非 军事 区 或 网 络 边 界 。 从 捕获 的 数据 流 中 分 析 每 个 数据 
包 , 检 测 其 中 的 有 害 行为 数据 。NIDS 的 实例 是 著名 的 免费 人 侵 检 测 软件 Snort (网 址 
http://www. snort. org) 等 。 

(2) 主机 式 人 侵 检 测 系统 (Host-based Intrusion Detection System,HIDS): HIDS 主机 
入 侵 检测 系统 是 安装 在 主机 中 的 一 个 代理 软件 ,分 析 监 控 主 机 的 下 述 部 分 : 系统 调用 ,应 用 
日 志 , 对 口令 文件 ,数据库 .访问 控制 列表 等 文件 的 修改 行为 ,以 及 其 他 主机 行为 和 状态 。 
HIDS 的 实例 是 OSSEC 。 

(3) 分 布 式 人 侵 检 测 系统 : 一 般 NIDS 用 于 监测 某 一 网 段 或 网 络 出 口 ,HIDS 用 于 检测 
单一 的 主机 系统 ,不 能 实现 不 同 IDS 系统 之 间 的 协调 工作 ,适合 于 中 小 型 私有 网 络 。 在 大 
型 私有 网 络 或 异 构 网 络 的 重要 网 段 和 主机 上 分 别 设 置 多 个 IDS 系统 的 代理 ,将 所 有 检测 报 
警 信息 汇聚 到 安全 管理 中 心 进行 统一 的 监控 和 管理 ,形成 分 布 式 的 人 侵 检测 系统 。 

按照 执行 方式 可 分 为 : 

(4) 被 动 式 和 主动 式 IDS 系统 : 在 被 动 式 IDS 系统 (Passive System) 中 ,探测 器 检测 到 
一 个 潜在 的 安全 事件 的 迹象 后 ,记录 下 事件 信息 ,向 控制 台 或 主人 发 送 一 个 警报 。 主 动 式 
IDS(Reactive System) 也 称 为 入侵 保护 系统 ,能 够 对 可 疑 的 网 络 行为 自动 做 出 响应 ,通过 重 
置 连接 或 改变 防火 墙 的 控制 参数 来 阻 断 可 疑 行为 的 网 络 数据 源 。 这 种 能 够 对 网 络 人 侵 行 为 
进行 检测 ,并 能 够 自动 做 出 保护 行动 的 称 为 IDPS 入 侵 检 测 保护 系统 。 

按照 入 侵 检 测 的 工作 原理 可 分 为 : 

(5) 基于 统计 异常 检测 的 IDS(Statistical Anomaly-based IDS): 基于 统计 异常 分 析 的 
IDS, 它 统计 出 正常 时 候 私 有 网 内 的 行为 参数 、 网 络 流量 、 常 用 协议 、 常 用 端口 号 ,还 有 哪些 

» 299 “ 


设备 经 常 互相 通信 等 基本 情况 ,一 旦 发 现 网 络 数据 流 中 的 上 述 特征 值 超出 了 统计 的 正常 范 
围 就 发 出 报警 。 

(6) 基于 特征 分 析 的 IDS(Signature-based IDS) : 基于 特征 分 析 的 IDS 将 网 络 中 数据 
包 的 特征 与 预存 的 已 知 攻 击 行为 的 数据 包 特 征 进行 比较 识别 ,其 特点 是 需 收 集 和 及 时 更 新 
所 有 已 知 网 络 攻击 行为 的 特征 样本 作为 参照 ,缺点 是 不 能 对 那些 未 知 的 新 型 威胁 进行 有 效 
识别 。 

2. IDS 与 防火 墙 功能 的 比较 

IDS 与 防火 墙 都 是 网 络 安全 的 基础 设施 .二 者 的 不 同 点 是 : 防火 墙 通过 控制 网 络 与 
网 络 之 间 的 访问 来 阻止 入 侵 行为 ,对 于 来 自 内 网 的 攻击 检测 能 力 差 。@IDS 对 可 疑 的 网 络 
入 侵 行为 出 现 的 时 候 就 及 时 做 出 评估 ,并 且 发 出 警报 。 也 监控 来 自 系 统 内 部 的 攻击 。 它 检 
测 网 络 通信 的 数据 流 ,根据 网 络 攻击 的 模式 进行 启发 式 的 推理 判断 ,然后 启动 警报 。 能 够 主 
动 截断 可 疑 攻击 及 其 连接 的 IDS 系统 也 称 为 IPS 入 侵 保 护 系 统 或 应 用 层 防 火 墙 。IDS 弥补 
了 防火 墙 的 某 些 设 计 和 功能 缺陷 ,侧重 网 络 监控 ,注重 安全 审计 ,用 于 对 网 络 安全 状态 的 了 
解 ,但 随 着 网 络 攻击 技术 的 发 展 ,IDS 也 面临 着 如 下 新 的 挑战 : 

(1) 网 络 数据 流 中 若 有 结构 错误 的 包 会 严重 降低 IDS 的 检测 效率 。 网 络 数据 流 中 经 常 
出 现 由 于 软件 bug 或 线路 电磁 干扰 等 原因 产生 的 坏 数 据 包 、 受 破坏 的 DNS 数据 包 , 以 及 本 
地 逃逸 的 数据 包 , 导 致 IDS 产生 较 高 的 误 报警 率 。 

(2) 目前 大 多 数 IDS 对 真实 攻击 的 报警 成 功率 远 低 于 误 报 率 , 因 而 导致 真正 的 入侵 报 
警 被 忽略 了 。 

(3) 很 多 网 络 攻击 是 专门 针对 网 络 中 特定 版 本 的 在 用 软件 。 因 此 需要 经 常 性 地 更 新 攻 
击 模式 的 特征 库 , 和 否则 只 具有 过 时 特征 库 的 IDS 不 能 识别 那些 新 型 的 网 络 攻击 行为 。 

(4) IDS 是 旁 路 在 网 络 上 , 当 它 检测 出 黑客 人 侵 攻 击 时 ,攻击 已 到 达 目 标 造成 损失 。 
IDS 无 法 有 效 阻 断 攻击 ,比如 蠕虫 爆发 造成 企业 网 络 瘫痪 ,IDS 无 能 为 力 。 

(5) 里 虫 . 病 毒 `.DDoS 攻击 垃圾 邮件 等 混合 威胁 越 来 越 多 ,传播 速度 加 快 , 留 给 人 们 响 
应 的 时 间 越 来 越 短 ,使 用 户 来 不 及 对 入 侵 做 出 及 时 响应 ,往往 造成 网 络 瘫痪 ,IDS 无 法 把 攻 
击 防御 在 企业 网 络 之 外 。 


9.4.2 入 侵 保 护 系 统 


网 络 入 侵 保护 系统 (Intrusion Prevention Systems,IPS) .也 称 为 和 人 侵 检测 与 保护 系统 
IDPS ,网 络 信 侵 保 护 系统 NIPS 在 网 络 中 有 两 种 接 人 模式 : 

(1) 串 接 模式 NIPS, 当 它 检测 和 识别 到 网 络 或 主机 系统 数据 流 中 的 恶意 行为 后 ,就 采 
取 行 动 中 断 其 行为 的 实施 ,记录 日 志 并 给 出 报警 。 

(2) 旁 路 式 NIPS, 当 它 检 测 到 网 络 数据 流 中 的 违反 安全 规则 的 行为 后 ,向 管理 主机 发 
出 报警 信息 ,并 详细 日 志 记 录 该 安全 事件 。 

NIPS 与 IDS 系统 同样 执行 对 网 络 数据 流 的 检测 与 分 析 识 别 , 不 同 点 在 于 NIPS 设备 一 
般 是 串 接 在 网 络 通道 中 的 ,一 旦 发 现 了 网 络 中 的 异常 行为 , 它 本 身 就 可 及 时 地 采取 阻止 措 
施 , 可 蔡 代 防 火 墙 的 功能 。 这 些 保护 措施 包括 : 将 含有 恶意 数据 的 包 抛弃 , 阻 断 来 自 人 侵 源 
IP 地 址 的 数据 流 , 重 置 连接 进程 ,发送 报警 等 。IPS 系统 也 能 够 校正 以 太 帧 中 的 循环 元 余 校 
验 码 (Cyclic Redundancy Check ,CRC) 的 错误 ,将 分 段 传输 的 IP 包 进 行 组 装 还 原 (通常 情况 
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下 ,传输 过 程 中 被 分 割 的 IP 包 片 段 仅 在 目的 主机 中 组 装 还 原 ), 由 此 识别 微小 分 段 攻击 , 阻 
止 异常 的 TCP 序列 包 , 清 除 不 需要 的 协议 数据 的 传输 ,以 及 对 网 络 层 的 选择 控制 。 

1. IPS 系统 可 分 为 4 类 

(1) 基于 网 络 的 人 侵 保护 系统 (Network-based Intrusion Prevention System,NIPS) , 
监测 与 分 析 整 个 网 络 中 各 种 协议 的 数据 流 , 阻 止 不 需要 的 协议 数据 流 。 

(2) 无 线 网 络 人 侵 保 护 系 统 (Wireless Intrusion Prevention System, WIPS) ,检测 分 析 
无 线 网 络 中 的 各 种 协议 数据 流 , 阻 止 不 需要 的 协议 数据 流 。 

(3) 网 络 行为 分 析 (Network Behavior Analysis,NBA) ,根据 已 知 网 络 威胁 的 数据 流 特 
征 模式 ,识别 与 阻止 网 络 数据 流 中 的 异常 行为 。 例 如 ,分 布 式 拒绝 服务 攻击 (Distributed 
Denial of Service,DDoS) ,以 及 各 种 违反 了 网 络 安全 策略 的 数据 流 等 。 

(4) 基于 主机 的 人 侵 保 护 系统 (Hostrbased Intrusion Prevention System ,HIPS) , 它 是 
安装 在 一 台 主 机 中 的 IPS 软件 , 仅 对 该 主机 进行 人 侵 检测 和 保护 。 

2. IPS 的 检测 方法 和 主要 功能 

IPS 使 用 3 类 检测 方法 : 基于 已 知 数据 特征 的 检测 ,基于 统计 分 析 的 检测 ,基于 全 状态 
协议 数据 分 析 检 测 。 前 两 类 检测 方法 与 上 述 IDS 的 检测 方法 相同 。 全 状态 协议 分 析 检 测 : 
将 网 络 中 的 各 类 协议 数据 状态 与 “预先 确定 的 、 可 以 接受 的 网 络 协议 行为 模式 ”进行 比较 ,车 
发 现 异常 , 则 阻 断 其 传输 。IPS 的 主要 功能 是 : 

(1) 人 侵 防 御 : 实时 、 主 动 拦截 黑客 攻击 .蠕虫 .网 络 病毒 .后 门 木 马 `.DDoS 等 恶意 流 
量 , 保 护 企业 信息 系统 和 网 络 架构 免 受 侵害 ,防止 操作 系统 和 应 用 程序 损坏 或 宕 机 。 

(2) 流量 控制 : 阻 断 一 切 非 授权 用 户 流量 ,管理 合法 网 络 资源 的 利用 ,有 效 保证 关键 应 
用 的 全 天 候 畅 通 无 阻 。 

(3) 上 网 行为 监管 : 全 面 监测 和 管理 网 络 用 户 的 IM 即时 通信 、P2P 下 载 、 网 络 游戏 .在 
线 视频 ,以 及 在 线 炒 股 等 网 络 行为 ,协助 企业 辨识 和 限制 非 授权 网 络 流量 ,更 好 地 执行 企业 
的 安全 策略 。 


9.4.3 分 布 式 NIPS 入 侵 保 护 系统 配置 案例 


图 9. 6 所 示 为 一 个 大 中 型 私有 网 络 的 人 侵 保 护 系 统 配置 案例 。 大 型 企业 和 政府 机 关 的 
网 络 规模 大 ,覆盖 地 域 很 宽 ,结构 较 复杂 ,不 仅 有 总 部 ,还 有 与 分 布 在 各 地 的 分 支 机 构 子 网 构 
成 的 VPN , 既 要 保护 网 络 边界 的 安全 ,同时 又 要 保护 各 部 分 内 网 的 安全 。 在 本 设计 案例 中 ， 
采用 了 分 布 式 的 入侵 保护 系统 ,将 串 接 式 NIPS 与 旁 路 式 NIPS 相 结合 ,多 种 模式 分 层 防护 ， 
监控 与 防护 相 结合 ,适用 于 大 型 企 事业 单位 的 网 络 特点 。 图 示 分 布 式 人 侵 保护 系统 提供 了 
如 下 混合 防护 的 解决 方案 : 

(1) 在 网 络 中 心 的 互联 网 出 入 口 处 部 署 串 接 式 网 络 入 侵 保护 系统 ,实现 路 由 防护 ,提供 
了 网 络 层 、 应 用 层 到 内 容 层 的 深度 安全 防护 ,取代 了 功能 单一 的 防火 墙 。 

(2) 在 网 络 中 心 内 部 各 网 段 之 间 , 以 及 与 分 支 机 构 的 VPN 网 络 之 间 部 署 串 接 式 的 
NIPS, 提 供 了 透明 接 入 。HIPS 网 络 人 侵 保护 系统 有 若干 连接 方式 : 独立 的 一 进 一 出 的 
NIPS ,交换 式 多 进 多 出 的 NIPS ,构成 了 全 网 络 各 主干 的 分 布 式 安全 防护 体系 ,实现 内 网 的 
安全 区 域 分 割 和 控制 。 

(3) 在 集中 的 服务 器 区 部 署 旁 路 式 NIPS ,其 功能 相当 于 IDS 入 侵 检测 系统 , 它 监 测 和 

。301。 


远程 
机 构 分 支 


图 9.6 大 中 型 私有 网 络 的 分 布 式 NIPS 配置 案例 


分 析 服 务 器 区 的 安全 状况 ,保护 服务 器 安全 。 

(4) 设置 一 个 核心 的 安全 管理 中 心 ,实现 对 全 网 NIPS 设备 的 集中 管理 ,安全 信息 集中 
分 析 和 处 理 , 有 效 解 决 大 型 复杂 网 络 面临 的 安全 问题 。 

(5) 网 络 中 心 与 各 远程 分 支 机 构 子 网 之 间 通 过 通信 和 链 路 构成 VPN ,统一 接 人 互联 网 。 

(6) 电子 邮件 服务 器 和 Web 服务 器 等 设置 于 DMZ 区 ,通过 交换 式 的 NIPS, 与 互联 网 
接口 的 路 由 器 之 间 构 成 一 个 屏蔽 子 网 ,便于 对 内 外 网 用 户 提供 良好 的 服务 。 对 于 DMZ 区 
的 堡垒 主机 , 须 按照 前 述 要 求 进行 高 安全 性 和 高 可 靠 性 的 配置 。 


9.5 主机 安全 访问 控制 系统 


增强 计算 机 系统 对 抗 人 侵 者 以 及 对 信息 保护 的 方法 之 一 是 实施 安全 访问 控制 技术 ,也 
称 为 可 信任 系统 技术 (Trusted System) ,在 此 进行 简要 的 介绍 。 首 先 分 析 有 关 数 据 访问 控 
制 的 基本 概念 。 


9.5.1 安全 访问 控制 的 基本 概念 


当 一 个 用 户 利 用 某 账号 和 口令 成 功 登录 计算 机 系统 后 ,就 获得 了 访问 一 台 或 一 组 主机 
及 其 应 用 程序 的 权限 。 如 果 一 个 计算 机 系统 的 数据 库 里 包含 了 敏感 的 机 密 数 据 , 只 依靠 用 
户 账号 和 口令 进行 访问 控制 是 远 远 不 够 的 。 在 用 户 访问 控制 的 过 程 中 ,系统 首先 对 用 户 的 
身份 进行 了 认证 。 可 以 给 每 一 个 用 户 制定 一 组 规则 ,指定 他 可 以 进行 的 操作 类 型 和 文件 访 
问 类 型 。 基 于 指定 每 个 用 户 访 问 的 规则 ,操作 系统 就 可 增强 安全 控制 和 管理 。 

然而 ,数据 库 管 理 系统 的 控制 必须 细 分 并 具体 到 对 特定 记录 或 记录 中 的 某 一 部 分 的 访 
问 。 例 如 ,可 以 允许 公司 管理 层 的 任何 人 获得 一 份 公司 员工 的 名 册 清 单 . 但 是 其 中 只 有 被 指 
定 的 人 能 够 访问 员工 的 工资 信息 。 此 问题 只 在 一 个 层面 的 细节 控制 上 是 不 能 解决 的 。 否 
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则 , 当 系统 授予 一 个 用 户 访问 一 个 文件 或 使 用 一 种 应 用 的 权限 后 ,对 他 的 后 续 行 为 就 没有 进 
一 步 的 安全 检查 和 约束 了 ,数据 库 管 理 系统 还 必须 对 每 个 人 的 具体 的 访问 操作 做 出 判定 。 
此 判定 的 做 出 不 只 取决 于 用 户 的 身份 标识 ,还 取决 于 被 访问 的 数据 的 特定 部 分 ,甚至 取决 于 
已 经 被 此 用 户 泄 露 了 的 信息 。 换 言 之 ,应 当 在 访问 者 和 被 访问 者 两 个 方面 都 实施 安全 访问 
控制 策略 ,通常 采用 的 只 对 访问 者 进行 身份 和 权限 控制 的 策略 是 不 够 的 , 某 些 盗号 木马 正 是 
利用 了 此 薄弱 环节 进行 工作 , 见 后 面 的 例子 。 本 节 最 后 简要 介绍 Windows XP 系统 提供 的 
安全 访问 控制 策略 。 

1. 安全 访问 控制 的 模型 

通常 对 一 个 文件 或 数据 库 管理 系统 使 用 的 访问 控制 模型 ,可 以 表示 为 图 9. 7(a) 所 示 的 
访问 控制 矩阵 。 此 模型 中 的 基本 元 素 如 下 : 


程序 ! “数据 段 A 数据 段 B。 [程序 ! 的 访问 控制 列表 
进程 1 | 读 读 进程 1 ( 读 ， 执 行 ) 进程 1 的 功能 列表 
执行 写 数据 段 A 的 访问 控制 列表 : 程序 1( 读 ， 执行 ) 
进程 2 国 进程 1 ( 读 ， 写 ) 数据 段 A ( 读 ， 写 ) 
数据 段 B 的 访问 控制 列表 : 进程 2 的 功能 列表 
| 进程 2 ( 读 ) 数据 段 B ( 读 ) 
(a) 访问 矩阵 (b) 访问 控制 列表 (c) 功能 列表 


图 9.7 访问 控制 矩阵 以 及 按 列 和 行 分 解 实施 


(1) 主体 (Subject) : 它 是 一 个 可 以 访问 对 象 的 实体 。 通 常 ,主体 的 概念 等 同 于 用 户 账 
号 ,以 及 此 用 户 账 号 启动 的 每 个 进程 。 任 何 用 户 或 应 用 可 利用 一 个 表征 自己 权限 的 进程 去 
访问 一 个 对 象 。 

(2) 对 象 (Object) : 受 控 访问 的 任何 事物 。 例 如 ,文件 ,文件 夹 .程序 ,以 及 存储 器 分 
区 等 。 
(3) 访问 操作 权限 (Access right) : 允许 主体 对 对 象 实施 的 操作 行为 。 例 如 , 读 、 写 、 删 
除 .修改 .复制 等 操作 权限 。 

矩阵 中 的 每 一 列 由 鉴别 后 的 拥有 被 访问 数据 的 对 象 构 成 。 系 统 中 可 被 访问 的 对 象 构成 
矩阵 的 所 有 列 。 对 象 可 以 细 分 到 某 个 文件 中 的 单个 数据 字段 。 对 象 可 以 是 范围 再 大 一 些 的 
组 合 ,例如 ,记录 ,文件 .文件 夹 ,甚至 整个 的 数据 库 , 都 可 以 是 矩阵 中 的 对 象 。 和 矩阵 的 每 一 行 
由 各 用 户 账号 或 各 用 户 账 号 启动 的 不 同 进 程 构成 ,虽然 访问 者 (主体 ) 可 以 是 终端 .主机 或 应 
用 进程 ,而 不 一 定 是 用 户 。 和 矩阵 中 的 每 “ 行 ?条 目 与 某 对 象 “ 列 ”的 交叉 点 指示 出 该 主体 对 此 
对 象 的 访问 操作 权限 。 

2. 访问 控制 矩阵 按 列 分 解 实施 

实际 中 ,一 个 访问 控制 矩阵 通常 是 稀 玻 矩阵 ,可 用 一 种 或 两 种 方法 分 解 实施 。 此 矩阵 可 
以 按 “ 列 "分解 ,得 到 访问 控制 列表 (access control list) ,如 图 9.7(b) 所 示 。 因 此 ,对 于 每 个 
对 象 ,一 个 访问 控制 列表 给 出 了 该 对 象 允许 访问 的 用 户 和 他 们 的 访问 权限 。 访 问 控制 列表 
可 以 包含 一 个 默认 的 或 公共 的 条 目 , 这 人 允许 那些 没有 被 明确 列 出 的 用 户 具 有 一 组 默认 的 权 
限 设置 。 此 列表 的 元 素 可 包括 单个 用 户 或 分 组 的 用 户 。 应 用 实例 是 后 面 介绍 的 Windows 
XP 文件 安全 属性 设置 。 

3. 访问 控制 矩阵 按 行 分 解 实施 


按照 行 分 解 可 得 到 每 个 用 户 账号 或 进程 可 具有 的 功能 列表 ,如 图 9.7(c) 所 示 。 功 能 票 
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据 给 一 个 用 户 ( 或 进程 ) 指 定 了 授权 访问 的 对 象 类 型 和 应 用 。 每 个 用 户 有 一 些 票据 ,可 以 被 
授权 将 这 些 票 据 租 借 或 赠送 给 别人 。 因 为 票据 可 以 分 散在 系统 的 各 处 使 用 ,它们 的 安全 问 
题 比 访问 控制 列表 更 大 。 实 际 中 ,票据 必须 是 不 能 伪造 的 ,实行 的 方法 之 一 就 是 让 系统 蔡 用 
户 保存 所 有 的 票据 。 这 些 票据 应 当 保存 在 用 户 不 能 接触 的 内 存 的 某 个 区 域 。 应 用 实例 是 
Windows XP 中 的 账号 管理 与 权限 配置 。 


9.5.2 可 信任 系统 的 概念 


上 面 讨论 的 是 关于 保护 某 个 具体 的 信息 或 资源 ,防止 某 个 用 户 对 它们 进行 被 动 或 主动 
的 攻击 。 实 际 中 广泛 采用 的 措施 是 在 基于 安全 级 别 划分 的 基础 上 来 保护 数据 和 资源 。 在 军 
事 领域 一 般 将 信息 的 安全 等 级 分 类 为 : 不 分 类 保密 的 (unclassified) .隐私 的 (confidential) 、 
秘密 的 (secret) 、 最 高 秘密 的 (top secret) 或 者 更 高 。 这 种 方法 也 可 同样 用 于 将 信息 进行 机 
密 等 级 的 分 类 ,确定 某 用 户 可 以 访问 的 是 哪 类 数据 。 例 如 ,最 高 机 密 的 信息 可 以 包括 企业 的 
战略 规划 文件 和 数据 ,这 些 信息 只 能 让 企业 高 级 官员 和 他 们 的 助手 访问 ;下 一 机 密 等 级 层次 
的 信息 可 以 包括 敏感 的 金融 数据 和 人 事 数据 ,可 以 让 部 门 管理 人 员 ,企业 官员 等 访问 。 

多 级 别 安全 访问 控制 系统 的 管理 : 将 系统 中 每 个 数据 文件 的 机 密 等 级 或 类 别 划分 确定 
后 ,一 个 高 安全 级 别 的 主体 不 能 将 信息 传 给 位 于 低 安全 级 别 的 对 象 。 实 施 中 将 这 安全 管理 
的 需求 分 为 两 部 分 ,并 制定 简单 的 访问 控制 规则 。 多 级 别 安全 访问 控制 系统 强调 进行 以 下 
两 个 方面 的 控制 : 

(1) 禁止 一 个 主体 阅读 高 于 自己 安全 级 别 的 对 象 : 一 个 主体 只 能 阅读 等 于 或 低 于 他 的 
安全 级 别 的 对 象 。 这 规则 可 表述 为 “简单 安全 性 质 ”。 

(2) 禁止 主体 在 低 于 自己 安全 级 别 的 对 象 上 写 数 据 : 一 个 主体 只 能 写 等 于 或 高 于 他 自 
己 的 安全 级 别 的 对 象 ,这 规则 用 文字 表述 为 * * -属性 ”。( 由 于 在 首次 发 表 此 模型 的 报告 时 ， 
没有 人 能 够 想 出 一 个 适当 的 术语 来 描述 此 性 质 , 就 用 了 可 代表 任何 事物 的 星 号 *- 
property。) 

按照 这 两 个 规则 对 各 主体 和 对 象 的 安全 属性 进行 细 化 设置 后 ,就 可 提供 多 层次 的 安全 
访问 控制 管理 。 在 一 个 数据 处 理 系统 的 安全 管理 中 ,对 那些 各 种 类 别 的 对 象 的 访问 控制 , 采 
用 基于 “参考 监督 者 ”的 概念 ,如 图 9. 8 所 示 。 在 一 个 计算 机 系统 中 利用 主体 和 对 象 的 安全 
属性 ,以 及 参考 监督 者 来 控制 主体 对 对 象 的 访问 。 参 考 监督 者 的 工作 必须 凭借 一 个 称 为 “ 安 
全 核心 数据 库 ” 的 文件 ,此 文件 中 列 出 了 每 个 主体 的 访问 权限 (安全 等 级 ), 以 及 每 个 对 象 的 
保护 属性 (安全 分 类 )。 

参考 监督 者 强化 了 上 述 安全 规则 (禁止 阅读 高 于 自己 安全 等 级 的 文件 ,禁止 书写 低 于 自 
己 安全 等 级 的 文件 ) ,并 具有 以 下 特性 : 

O@ 完全 仲裁 (Complete mediation) : 对 每 次 访问 都 严格 执行 安全 规章 检查 ,不仅 只 是 当 
打开 一 个 文件 时 才 执行 安全 检查 。 

@ 隔离 (Isolation) : 参考 监督 者 和 数据 库 受 到 保护 ,防止 那些 文件 被 未 经 授权 的 修改 。 

@ 查证 能 力 (Verifiability) : 参考 监督 者 的 正确 性 必须 能 得 到 证 明 。 必 须 能 在 数学 上 
表明 参考 监督 者 严格 执行 了 安全 规章 策略 ,并 提供 完全 的 仲裁 与 隔离 。 

这 些 要 求 是 很 苛刻 的 ,要 进行 完全 的 仲裁 就 意味 着 对 主 存储 器 .磁盘 和 磁带 的 数据 的 每 
次 访问 都 必须 进行 裁决 。 如 果 完 全 用 软件 来 实现 此 功能 ,由 于 工作 量 大 会 导致 运行 性 能 的 
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审计 文件 
Audit file 
[ [ 
呈 参考 监督 者 (规章 ) 
主体 | Reference monitor 对 旬 


Subjccts (policy) Objects 


安全 核心 数据 库 
Security kernel 
Database 


主体 : 安全 等 级 
Subject : security clearance 
对 象 安 全 分 类 
Object : security 
classification 


图 9.8 可 信任 系统 中 参考 监督 者 的 位 置 


下 降 , 解 决 的 方案 就 是 至 少 一 部 分 要 用 硬件 来 实现 。 要 实现 隔离 ,就 意味 着 完全 不 受到 攻 
击 , 无 论 攻击 者 有 多 聪明 ,都 不 能 改变 参考 监督 者 的 工作 逻辑 ,以 及 安全 核心 数据 库 的 内 容 。 
最 后 ,要 实现 数学 上 的 证 明 是 很 艰难 的 ,其 复杂 程度 与 一 台 通 用 计算 机 相仿 。 能 够 实现 这 样 
的 查证 功能 的 系统 就 称 为 受信 任 系统 。 

图 9.8 中 的 上 部 是 审计 文件 。 对 于 一 些 重要 的 安全 事件 ,例如 ,探测 到 的 安全 入 侵 、 对 
安全 数据 库 的 授权 修改 等 ,都 记录 在 审计 文件 中 。 

从 1981 年 开始 ,美国 国防 部 为 了 满足 自己 的 需要 ,以 及 作为 一 个 公共 服务 项 目 , 在 国家 
安全 局 (NSA) 内 建立 了 计算 机 安全 中 心 ,其 目的 是 鼓励 广泛 采用 计算 机 可 信任 系统 。 通 过 
该 中 心 的 “商用 产品 测评 项 目 ” 实 现 了 此 目标 。 实 质 上 ,该 中 心 对 商用 产品 的 测评 就 是 要 满 
足 上 述 对 系统 安全 的 要 求 。 中 心 根据 被 测评 的 商用 产品 提供 的 安全 特性 范围 对 它们 进行 分 
类 ,这 些 测评 结果 是 美国 国防 部 所 需要 的 ,也 被 公布 了 可 免费 索取 ,因此 也 可 以 作为 消费 者 
购买 商用 设备 时 的 一 种 参考 指南 。 


9.5.3 一 种 盗号 木马 的 工作 原理 与 防护 


防止 木马 盗 取 本 机 敏感 信息 的 方法 之 一 是 采用 安全 的 可 信任 系统 ,图 9.9 是 一 个 例子 。 
此 例 中 ,攻击 者 使 用 了 一 种 特洛伊 木马 来 绕 开 大 多 数 文件 管理 和 操作 系统 采用 的 标准 的 安 


“CPE170KS” | 小 李 : RW 读 写 “CPE170KS” \, 李 : RW 读 写 
阜 | Ee | 。| Datafile A Re Data file 4 Ee 
小 李 机 密 数据 文件 小 地 机 密 数据 文件 

黑客 : RW 读 写 黑客 : RW 读 写 
© 4 地 :vs | 委 小 本, W 写 
黑客 一 "| Program 一 | Back-pocket file 黑客 Program | 一 | Back-pocket file 一 一 一 
程序 后 袋 文 件 程序 后 袋 文件 
(a) 用 户 小 李 与 黑客 (b) 小 李 被 诱惑 激活 木马 程序 


图 9.9 特洛伊 木马 恶意 程序 的 工作 过 程 
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全 措施 。 在 此 例 的 安全 控制 列表 中 ,一 个 高 安全 等 级 的 用 户 小 李 , 通 过 一 个 程序 建立 了 一 个 包 
含有 重要 秘密 字符 串 ( 例 如 密码 等 )*CPE170KS” 的 文件 ,并 保存 。 在 此 之 前 ,用 户 小 李 利 用 只 
有 自己 的 程序 具有 的 读 / 写 权限 建立 了 此 文件 ,并且 只 有 小 李 启 动 的 进程 可 以 访问 此 文件 。 

1. 一 种 盗号 木马 的 攻击 过 程 

假设 有 一 个 恶意 用 户 名 叫 黑客 ,他 获取 了 对 计算 机 系统 的 合法 访问 资格 ,但 是 权限 较 
低 ,能 访问 的 资源 有 限 ( 例 如 ,使 用 来 宾 账 户 登录 进入 计算 机 系统 或 通过 浏览 器 下 载 文件 等 
路 径 ) 。 他 在 系统 中 安装 了 一 个 特洛伊 木马 程序 和 一 个 私有 文件 夹 ,该 文件 夹 在 攻击 过 程 中 
可 作为 “后 袋 文 件 ” 使 用 (back pocket file) 。 黑 客 将 后 袋 文 件 夹 的 安全 属性 设置 为 自己 对 它 
有 读 / 写 的 权限 ,而 小 李 对 后 袋 文 件 只 有 写 的 权限 ,如 图 9. 9(a) 所 示 。 然 后 ,黑客 将 该 程序 
伪装 成 一 个 很 有 用 的 工具 软件 或 游戏 等 ,例如 伪装 成 出 现在 计算 机 屏 面 上 的 IE 快捷 键 图 标 
等 ,诱惑 小 李 去 点 击 图 标 激活 该 木马 程序 。 当 木马 程序 被 小 李 运 行 后 ,该 程序 就 具备 了 小 李 
的 操作 权限 ,就 从 小 李 的 私有 文件 夹 中 将 机 密 字 符 串 (如 密码 等 ) 复 制 到 黑客 的 后 袋 文 件 中 ， 
如 图 9.9(b) 所 示 。 此 过 程 中 的 读 / 写 等 操作 都 符合 系统 中 的 访问 控制 列表 的 规定 。 上 述 操 
作 事 件 过 后 ,黑客 就 可 以 合法 地 访问 自己 的 后 袋 文 件 夹 来 获得 小 李 的 机 密 字 符 串 ,或 者 木马 
自动 地 将 获取 的 机 密 文件 通过 网 络 的 基于 UDP 协议 的 短信 发 送 给 远 端 的 黑客 。 

注意 ,通过 上 述 资 号 木马 的 运行 过 程 可 看 出 , 若 用 户 发 现 自己 计算 机 屏幕 桌面 上 不 知 何 
时 出 现 了 新 的 图 标 , 如 熟悉 的 IE 快捷 键 图 标 等 ,或 者 在 运行 DOS 命令 netstat 时 本 地 计算 
机 联网 状态 中 出 现 了 新 的 开放 端口 等 ,就 应 当 警惕 了 。 

2. 可 信任 系统 对 盗号 木马 的 防护 

现在 分 析 在 一 个 安全 的 可 信任 系统 中 对 盗号 木马 程序 攻击 的 防护 ,如 图 9. 10(a) 所 示 。 
当 一 个 主体 登录 系统 时 ,系统 根据 几 个 判别 条 件 给 该 主体 赋予 安全 等 级 ,例如 ,限定 该 主体 
用 于 登录 系统 的 计算 机 终端 是 哪 一 台 ,鉴别 口令 和 用 户 ID 标识 的 身份 等 。 此 例 中 的 主体 和 
对 象 有 机 密 和 公共 两 个 安全 等 级 ,机 密 的 安全 等 级 高 于 公共 的 安全 等 级 。 小 李 拥有 的 进程 
(主体 ) 和 他 的 数据 文件 (对 象 ) 被 划 归 较 高 的 机 密 安全 等 级 ,黑客 的 文件 (对 象 ) 和 进程 ( 主 
体 ) 被 限制 在 较 低 的 公共 安全 等 级 。 如 果 小 李 无 意 中 激活 了 特洛伊 木马 程序 ,如 图 9. 10(b) 
所 示 , 该 程序 就 得 到 了 小 李 的 安全 等 级 , 它 就 能 够 访问 那 机 密 的 字符 串 。 当 该 木马 程序 试图 
将 访问 到 的 机 密 字符 串 复制 到 一 个 公共 安全 等 级 的 文件 (后 袋 文件 ) 中 时 ,就 违反 了 上 述 
“x -属性 "中 的 “禁止 书写 比 自己 的 安全 等 级 低 的 文件 ”的 规定 ,此 企图 被 参考 监督 者 所 制 


Reference monitor 参考 监督 者 Reference monitor 参考 监督 者 
| + 
1 1 
1 | *CPE170KS”| 小 李 : RW 读 写 1 | “CPE170KS”| 小 本: RW 读 所 
多 || De [| Data file Ey eo | Data file 
小 李 ! | 机密 数据 文件 4 了 | 1 | 机 密 数据 文件 
1 1 
1 
1 黑客 : RW 读 写 黑客 : RW 读 写 
@ ea 
黑客 Program | Back-pocket file 一 一 一 黑客 Program | Back-pocketfile 王 一 一 
程序 | | | 后 伏 文 件 加 程序 一 后 伐 文 件 
t + 
(a) 参考 监督 者 的 位 置 (b) 参考 监督 者 禁止 写 下 等 级 文件 


图 9. 10 参考 监督 者 的 审计 禁止 用 户 写 低 于 自己 安全 等 级 的 文件 
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止 。 因 此 ,即使 访问 控制 列表 允许 将 该 机 密 字 符 串 写 和 后 袋 文 件 , 此 企图 也 不 可 得 腺 ,这 就 
是 按照 安全 策略 采取 的 措施 制止 和 取代 了 访问 控制 列表 的 决定 。 


9.5.4 Windows XP 操作 系统 的 安全 访问 控制 


在 Windows XP 操作 系统 中 提供 了 类 似 上 述 可 信任 系统 的 安全 设置 ,供用 户 选 用 。 该 
操作 系统 可 供 选 用 的 安全 访问 控制 措施 是 : 对 计算 机 的 用 户 和 用 户 组 (主体 ) 设 置 不 同 的 安 
全 等 级 权限 ,对 驱动 盘 、 文 件 夹 ,文件 等 (对 象 ) 可 设置 不 同 的 安全 属性 和 访问 控制 策略 。 本 
节 仅 作 简 单 介绍 。 

1. Windows XP 中 用 户 和 用 户 组 的 权限 管理 

Windows XP 操作 系统 将 主体 分 为 用 户 和 用 户 组 两 大 类 。 用 户 是 一 个 具有 特定 访问 权 
限 的 使 用 者 ,用 户 组 是 一 组 具有 相同 权限 的 用 户 的 集合 ,通常 一 个 用 户 可 属于 一 个 或 多 个 用 
户 组 。 在 Windows XP 专业 版 中 , 右 击 * 我 的 电脑 ,选择 "管理 "~* 计 算 机 管理 "~~“ 本 地 用 
户 和 组 ”选项 ,进入 图 9. 11 所 示 的 用 户 管理 界面 。 


管理 员 对 计算 机 / 域 有 不 受 限制 国 


备份 操作 员 为 了 备份 或 还 原文 件 
按 默 认 值 ， 来 宾 跟 用 户 姐 的 成 员 
此 组 中 的 成 员 有 部 分 管理 权限 来 
Power User 拥有 大 部 分 管理 权 

日 此 姐 中 的 腕 员 被 授予 远程 避 录 的 
支持 域 中 的 文件 复制 
昌 户 天 法 进行 右 音 或 于 音 sipoih 国 | 


图 9.11 Windows XP 中 对 本 地 用 户 和 组 的 权限 管理 


Windows XP 的 默认 用 户 组 有 10 组 ,常用 的 几 组 如 下 : 

。 Administrators 组 : 组 中 的 账户 拥有 对 整个 计算 机 管理 的 所 有 权限 。 可 创建 .更 改 、 
删除 其 他 账户 和 组 ,安装 新 程序 ,共享 文件 夹 ,设置 权限 .访问 所 有 文件 ,为 其 他 用 户 
账户 指派 权限 ,安装 和 删除 设备 驱动 程序 ,用 安全 模式 登录 计算 机 等 。 

。 Power Users 组 : 拥有 Administrators 的 大 部 分 权限 ,但 不 能 获取 文件 和 文件 夹 的 
a iS A a A 
全 日 志 

。 Users 组 ， 好受 限 用 户 组 , 该 组 用 户 可 以 运行 程序 和 保存 文档 ,但 不 能 更 改 计算 机 的 
设置 .安装 程序 .查看 其 他 用 户 创建 的 文档 等 。 

。 Guests 组 : 来 宾 工 作 组 ,允许 临时 用 户 使 用 Guests 账号 登录 计算 机 , 仅 有 极 小 的 权 
限 。 默 认 情 况 下 ,Guests 组 中 的 Guest 账户 是 被 禁用 的 .这 样本 地 网 络 上 的 其 他 
Windows 主机 不 能 访问 本 机 的 共享 资源 。 

Windows XP 的 用 户 账 户 可 分 为 3 类 安全 等 级 : 

。 管理 员 账 户 : 可 以 更 改 其 他 账户 的 权限 (例如 ,管理 员 可 将 受 限 账 户 更 改 为 具有 管 
理 员 权限 的 账户 )、 修 改 密码 ,以 及 实施 对 本 主机 系统 范围 内 的 所 有 软 硬 件 设 置 ,并 
能 够 安装 任何 与 Windows XP 兼容 的 软件 和 驱动 程序 ,能 访问 系统 内 所 有 文件 。 如 
果 主 管理 员 账 户 的 密码 丢失 ,安全 模式 等 都 无 法 登录 系统 ,需要 将 硬盘 拆 印 后 备份 
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数据 ,然后 运行 系统 恢复 ,或 重新 安装 Windows XP 并 设置 新 的 管理 员 密码 。 
。 受 限 账户 : 不 能 安装 或 运行 某 些 程序 ,但 可 以 更 改 自己 账户 的 图 片 .主题 和 其 他 桌 
面 设置 。 可 以 创建 、 编 辑 或 者 删除 自己 账户 的 密码 。 可 以 查看 自己 创建 的 文件 ,在 
共享 文件 夹 中 查看 文件 。 
。 来 宾 账 户 : 没有 账户 的 人 可 以 用 来 宾 账 户 登 录 到 此 计算 机 。 只 能 对 计算 机 上 的 资 
源 进行 有 限 的 访问 (与 受 限 账户 类 似 ) ,来 宾 账 户 只 可 以 使 用 其 他 账户 安装 的 某 些 程 
序 , 不 能 对 文件 进行 修改 和 删除 等 操作 ,不 能 安装 任何 程序 以 及 更 改 系统 设置 。 受 
密码 保护 的 文件 文件 夹 和 设置 都 不 能 被 来 宾 用 户 访 问 。 
2. Windows XP 中 文件 的 安全 访问 控制 策略 
Windows XP 操作 系统 提供 了 对 硬盘 分 区 ,文件 夹 和 文件 等 对 象 设置 安全 访问 控制 策 
略 的 选项 ,默认 情况 下 此 功能 是 关闭 的 。 即 默认 情况 下 ,大 多 数 文件 可 被 所 有 账户 访问 。 启 
用 安全 访问 控制 功能 的 步骤 如 下 : 
(1) 以 具有 管理 员 权 限 的 账户 登录 Windows XP,. 打 开 * 资 源 管理 器 " ,选择 “工具 ”一 
“文件 夹 选项 ”, 打 开 “ 文 件 夹 选项 ”对 话 框 。 在 对 话 框 中 单 击 “ 查 看 ”选项 卡 , 单 击 取消 其 中 的 
“使 用 简单 文件 共享 (推荐 ) 复 选 框 ”, 单 击 “ 应 用 ”一 


《计算 机 网 络 安全 与 应 用 》 讲 课 资料 属性 加 @ 
逢 规 和 定义 “确定 ”按钮 。 
组 或 用 户 名 称 @); (2) 右 击 某 文 件 夹 或 文件 ,打开 下 拉 菜 单 中 的 


@ Adninistrator OESIDE\Administrator) 
hdministrators OESIDE\Adninistrators) 


“属性 ”选项 时 就 会 发 现 增加 了 “安全 ”选项 卡 ， 
如 图 9. 12 所 示 。 选 项 卡 上 窗口 列 出 了 该 系统 的 所 
有 不 同 权限 的 账户 列表 , 当 系 统管 理 员 选 中 一 个 账 
户 后 ,可 由 下 窗口 的 权限 分 配 表 给 该 账户 设置 访问 
此 文件 夹 或 文件 的 权限 。 对 文件 的 访问 权限 分 为 
完全 控制 ,修改 , 读 取 和 运行 , 列 出 文件 夹 日 录 , 读 
取 , 写 人 ,特别 的 权限 等 。 

启用 这 些 安全 访问 控制 策略 后 ,就 细 化 了 每 个 
不 同 账户 对 同一 个 文件 夹 或 文件 的 不 同 访问 权限 ， 
从 而 增加 了 系统 内 各 类 信息 的 安全 。 这 也 是 “可 信 
任 系统 (Trusted System)” 的 简化 概念 。 

主机 安全 访问 控制 策略 的 应 用 举例 : 在 安装 
了 Windows XP 操作 系统 的 计算 机 中 进行 了 上 述 
两 类 设置 后 ,可 以 利用 具有 管理 员 权 限 的 账号 登录 
系统 ,对 系统 进行 维护 、 创 建 编辑 文档 等 操作 。 而 进行 互联 网 信息 搜索 、 收 发 电子 邮件 .QQ 
聊天 、 网 络 游 戏 等 有 潜在 隐患 的 操作 时 ,可 利用 受 限 的 用 户 账号 登录 系统 ,万 一 有 恶意 程序 
从 网 络 访问 中 进入 系统 ,那么 其 恶意 行为 将 受到 该 账号 权限 的 制约 。 


1 


3 回回 固 卫 器 日 
els [sjels ls 


时 suandnpm 


峙 别 权 限 下 高 级 设置 ， 请 单 击 “高 红 ” 。 


图 9.12 Windows XP 系统 可 分 别 对 每 
个 文件 和 文件 夹 的 安全 访问 
控制 属性 进行 设置 


9.6 本 章 小 结 


(1) 防火 墙 的 设计 目标 : 所 有 进出 内 部 网 络 的 数据 流 都 必须 经 过 防火 墙 ,只 有 经 过 本 
地 安全 策略 认证 的 IP 包 能 够 通过 防火 墙 .防火 墙 需要 使 用 一 个 受信 任 的 和 安全 可 靠 的 操作 
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系统 ,防火 墙 能 够 作为 实施 网 络 安全 协议 IPSec VPN 的 平台 。 

(2) 防火 墙 的 控制 功能 : 服务 控制 ,网 络 数据 流向 控制 ,用 户 控制 ,应 用 服务 的 控制 。 
防火 墙 功 能 的 局 限 性 : 对 于 绕 开 了 防火 墙 的 攻击 行为 ,防火 墙 不 能 提供 保护 ;防火 墙 对 来 自 
内 部 的 威胁 不 能 提供 保护 ;防火 墙 不 能 对 那些 已 经 受到 病毒 感染 的 应 用 层 程序 和 文件 的 传 
输 提 供 保护 。 

(3) 包 过 滤 防 火 墙 按照 设 定 的 一 组 规则 对 每 个 出 入 的 IP 包 实 施 检查 ,然后 决定 转发 或 
抛弃 这 个 包 。 判 决 依据 是 IP 包 中 的 源 和 目的 IP 地 址 、 源 和 目的 端口 和 上 层 协议 等 。 对 包 
过 滤 防火 墙 的 攻击 方法 : IP 地 址 欺骗, 源 路 由 攻击 ,微小 分 段 攻击 。 

(4) 全 状态 检测 包 过 滤 防 火 墙 通过 将 当前 IP 包 属 性 与 通信 记录 表 中 的 进程 对 照 来 强 
化 安全 过 滤 , 只 允许 那些 满足 规则 中 任何 一 个 条 目的 IP 包 进出 内 网 ,不 仅 只 是 孤立 地 判断 
一 个 包 内 IP 地 址 和 端口 地 址 是 否 该 放行 ,还 要 考察 此 包 是 否 是 一 个 已 建立 连接 的 进程 中 的 
一 个 通信 步骤 。 

(5) 代理 服务 器 分 为 3 种 类 型 ,在 互联 网 服务 中 得 到 广泛 应 用 。 

(6) 堡垒 主机 的 作用 是 作为 安装 各 类 应 用 服务 的 主机 平台 ,一 般 设置 在 网 络 的 风险 较 
高 的 区 域 , 为 内 外 网 用 户 提供 服务 。 堡 又 主机 的 安全 配置 是 网 络 安全 管理 的 一 个 重要 方面 。 

(7) 人 侵 检测 和 入 侵 保护 系统 可 以 对 网 络 数据 进行 较 全 面 的 分 析 监 测 ,弥补 防火 墙 的 
不 足 。 
(8) 安全 访问 控制 策略 应 当 在 访问 者 和 被 访问 者 两 个 方面 都 实施 。 访 问 控制 模型 的 基 
本 元 素 : 主体 ,对 象 . 访 问 权限 。 一 个 高 安全 级 别 的 主体 不 能 将 信息 传 给 位 于 低 安 全 级 别 或 
非 可 比 等 级 的 主体 ,除非 这 些 信息 流 准确 地 反映 了 某 一 个 授权 用 户 的 意愿 。 多 级 别 安全 系 
统 必须 增强 两 个 方面 的 控制 : 禁止 一 个 主体 阅读 高 于 自己 安全 级 别 的 对 象 ;禁止 主体 书写 
低 于 自己 安全 级 别 的 对 象 。 参 考 监督 者 具有 以 下 特性 : 完全 仲裁 .隔离 .查证 能 力 。 

(9) 防护 盗号 木马 攻击 的 方法 之 一 是 使 用 安全 的 可 信任 系统 。 在 Windows XP 操作 系 
统 中 提供 了 简化 的 安全 访问 控制 策略 的 可 选 设置 ,可 以 对 用 户 账号 安全 等 级 和 文件 安全 访 
问 属性 两 方面 进行 控制 。 


习题 与 实践 


1. 请 写 出 防火 墙 的 3 个 设计 目标 。 请 写 出 防火 墙 用 于 控制 访问 和 实施 安全 策略 的 四 
项 技术 。 

2. 包 过 滤 路 由 器 使 用 了 哪些 信息 进行 包 过 滤 的 判决 ? 包 过 滤 路 由 器 的 弱点 是 什么 ? 
包 过 滤 路 由 器 与 全 状态 防火 墙 的 区 别 是 什么 ? 

3. 什么 是 应 用 层 防火 墙 ? 它 的 过 滤 规 则 与 网 络 层 防火 墙 相 比 增加 了 哪些 内 容 ? 

4. 图 9.4 和 图 9. 5 中 的 网 络 防火 墙 的 结构 配置 有 哪些 差别 ? 分 析 两 种 防火 墙 配 置 方 
案 的 优 缺 点 。 

5. 在 访问 控制 的 策略 中 ,主体 (subject) 和 对 象 (object) 的 区 别 ? 访问 控制 列表 (access 
control list) 和 功能 票据 (capability ticket) 的 区 别 ? 

6. 参考 监督 者 强化 的 是 两 条 什么 规则 ? 一 个 参考 监督 者 需要 具备 什么 样 的 特性 ? 

7. 在 一 个 多 级 别 安全 系统 中 ,规则 “禁止 读 高 于 自己 安全 级 别 的 对 象 ”以 及 "禁止 写 低 
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于 自己 安全 级 别 的 对 象 的 意义 何在 ?请 予 解释 。 


8 可 以 根据 报 文中 的 应 用 层 信息 来 转发 或 阻止 报 文 。 
a. 代理 服务 器 b. 包 过 滤 防 火 墙 c. 报 文摘 要 d. 私 钥 
9. 属于 黑客 被 动 攻 击 的 是 
a. 缓冲 区 溢出 b. 网 络 监听 c 端口 扫描 d. IP 欺骗 
10. 向 有 限 的 空间 输入 超 长 的 字符 串 是 攻击 手段 。 
a. 缓冲 区 溢出 b. 运行 恶意 软件 c. 恶意 代码 网 页 d. 打开 病毒 附件 


11. 结合 本 章 的 各 种 网 络 结构 图 的 配置 ,分 析 和 比较 防火 墙 , 人 侵 检 测 系统 .入 侵 保护 
系统 各 自 的 优点 、 缺 点 ,以 及 网 络 结构 配置 方面 的 差异 。 

12. 互联 网 中 使 用 3 种 不 同 的 代理 服务 器 : 转发 式 代理 服务 器 ,开放 式 代理 服务 器 , 反 
向 式 代理 服务 器 。 结 合 自己 对 互联 网 的 各 著名 网 站 的 访问 ,对 每 种 代理 服务 器 给 出 一 个 应 
用 实例 , 写 出 分 析 报 告 。 提 示 : 可 用 浏览 器 访问 互联 网 的 著名 网 站 ,利用 Wireshark 捕获 分 
析 DNS 响应 包 中 的 IP 地 址 信息 ,以 及 分 析 网 页 IP 包 中 各 层 的 信息 ,或 者 Ping 该 网 站 域 
名 ,根据 这 些 结果 判断 所 访问 到 的 服务 器 的 性 质 。 

13. 利用 浏览 器 访问 www. cctv. com 网 站 ,同时 利用 Wireshark 捕获 分 析 DNS 响应 包 
中 的 丰富 信息 ,判断 自己 收 到 的 网 页 是 否 来 自私 网 (例如 电信 和 网、 教育 网 等 ) 中 的 代理 服务 器 
或 公 网 中 的 主 网 站 。 

14. 在 Windows XP 操作 系统 中 实践 本 章 介 绍 的 对 系统 用 户 账号 的 设置 与 授权 ,对 文 
件 和 文件 夹 的 安全 属性 设置 访问 控制 策略 。 写 出 实验 报告 。 

15. 在 计算 机 上 安装 商用 的 单机 防火 墙 (或 称 为 全 功能 安全 防护 软件 ) ,在 此 防火 墙 上 
进行 以 下 实践 操作 : 设置 IP 地 址 过 滤 列 表 , 端 口 开 关 , 黑 名 单 , 可 信任 网 站 列表 等 功能 。 写 
出 实验 报告 。 


" B10 ® 


第 10 章 信息 加 密 与 安全 验证 的 基本 技术 


网 络 信息 安全 技术 提供 的 服务 可 分 为 5 类 : 

(1) 对 信息 的 保密 和 隐私 保护 ,用 于 防止 信息 在 传输 过 程 中 被 窃听 ,敏感 信息 被 汇 

(2) 信息 的 完整 性 验证 ,用 于 检测 信息 是 否 被 算 改 或 被 加 入 木马 等 恶意 程序 ,防止 在 系 
统 登录 过 程 中 的 重 放 攻击 等 。 

(3) 对 信息 发 送 者 的 身份 认证 ,防止 冒名 顶 蔡 。 

(4) 防止 信息 签发 者 的 拒 认 或 否认 已 收 到 资料 等 行为 。 

(5) 对 信息 访问 者 的 身份 认证 ,以 及 访问 信息 的 权限 鉴别 。 

目前 有 很 多 应 用 系统 可 实现 上 述 5 类 服务 ,但 是 本 质 上 ,都 是 建立 在 以 下 几 种 基本 技术 
的 不 同 组 合 上 : 

(1) 对 称 密 钥 加 密 技术 ,如 DES、3DES 等 。 

(2) 非 对 称 密 钥 加 密 技术 ,如 RSA 等 。 

(3) 对 称 密 钥 的 产生 和 交换 算法 ,如 Differ-Hellman 算法 等 。 

(4) 信息 的 完整 性 验证 算法 ,如 MD5、SHA-1,CRC-32 等 。 

(5) 数字 证 书 与 公 钥 基 础 设施 等 。 

本 章 将 要 介绍 这 些 基 础 技术 的 概念 ,以 及 在 实际 系统 中 的 应 用 。 在 本 书 附 录 中 浅显 易 懂 
地 介绍 了 两 种 算法 : CRC 循环 宛 余 码 的 计算 方法 ,素数 与 模 运算 的 基本 概念 和 运算 规则 。 

1. 加 密 通 信 中 常用 的 名 词 和 表达 式 

(1) 密码 学 (Cryptology): 它 的 研究 对 像 是 如 何 对 信息 进行 加 密 和 解密 ,防止 信息 被 泄 
漏 和 攻击 。 
(2) 明文 P(Plain text) 和 密 文 CCCipher text) : 用 户 的 信息 称 为 明文 已 ,经 过 加 密 后 称 
为 密 文 C。 

(3) 加 密 算法 E(Encryption) : 将 明文 转换 为 密 文 。 解 密 算法 DCDecryption) : 将 密 文 
转换 为 明文 。 在 某 些 加 密 系统 中 ,加 密 算法 EE 与 解密 算法 D 相同 ,而 在 某 些 加 密 系统 中 二 
者 不 同 。 

(4) 密 钥 (Key): 实现 加 密 必须 使 用 的 一 组 数字 。 要 对 信息 加 密 , 就 需要 有 一 个 加 密 算 
法 上 和 一 个 加 密 密 钥 kl 来 将 明文 转换 为 密 文 。 要 对 信息 解密 ,就 需要 有 一 个 解密 算法 
D 和 解密 密 钥 k2 将 密 文 转换 为 明文 。 在 对 称 密 钥 加 密 系统 中 kl 王 k2 ,而 在 非 对 称 密 钥 加 
密 系统 中 k1 天 k2。 

(5) 发 送 方 .接收 方 和 窃 密 者 : 使 用 这 三 个 名 字 来 描述 网 络 系统 安全 中 的 不 同 角色 。 
发 送 方 是 发 送 数据 的 用 户 ,接收 方 是 接收 数据 的 用 户 ,而 窃 密 者 是 第 三 方 ,他 对 通信 的 数据 
进行 截获 .试图 解密 或 发 送 他 自己 的 虚假 信息 进行 干扰 。 

(6) 加 密 信息 的 表达 式 : 发 送 方 在 信息 P 传输 前 ,利用 一 个 加 密 算法 巨 将 明文 P 转变 
为 密 文 C ,此 加 密 过 程 可 表达 为 C 一 Eu (CP)。 密 文 C 被 传输 到 达 接 收 方 后 ,再 通过 一 个 解密 

.311 ， 


算法 DD 将 密 文 C 转换 为 明文 P, 此 解密 过 程 可 表达 为 P= Dis(C)。 加 密 算法 EE 与 解密 算法 
D 必须 满足 可 逆 条 件 Di (En (P)) 二 P 

2. 加 密 通信 系统 分 为 两 类 

现代 加 密 通信 系统 分 为 两 类 : 对 称 密 钥 通信 系统 (也 称 为 秘密 密 钥 通信 系统 ) , 非 对 称 
密 钥 通 信 系统 (也 称 为 公开 密 钥 通 信 系统 )。 在 对 称 密 钥 通信 系统 中 ,通信 的 双方 使 用 相同 
的 共享 密 钥 对 信息 进行 加 密 和 解密 ,任何 人 只 要 知道 共享 密 钥 ,就 可 以 破译 密 文 ,如 图 10. 1 


所 示 。 
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图 10.1 对 称 密 钥 (秘密 密 钥 ) 通 信 系 统 


非 对称 密 钥 通信 系统 使 用 一 对 不 同 的 密 钥 : 私 钥 和 公 钥 。 利 用 私 钥 加 密 的 信息 只 有 用 
与 其 配对 的 公 钥 才 能 解密 ,反之 ,利用 公 钥 加 密 的 信息 也 只 有 用 与 其 配对 的 私 钥 才能 解密 。 
例如 , 一 个 网 络 银 行 的 客户 浏览 器 可 从 公开 的 网 站 获得 该 银行 的 公 钥 ,利用 此 公 钥 将 客户 
的 财务 数据 (明文 ) 加 密 , 然 后 将 密 文 发 送出 去 。 网 络 银 行 服务 器 接收 到 密 文 后 ,利用 只 有 自 
己 知道 的 和 铀 对 接收 到 的 密 文 进行 解密 ,还 原 得 到 明文 。 任何 第 三 方 不 知道 网 络 银行 的 私 
钥 ,无 法 破解 密 文 。 一 个 公 钥 与 一 个 私 钥 组 成 " 密 钥 对 ”, 如 图 10.2 所 示 。 
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图 10.2 非 对 称 密 钥 (公开 密 钥 ) 通 信 系统 


10.1 对 称 密 钥 通 信 系 统 


人 们 在 几 千 年 之 前 就 开始 在 战争 中 使 用 对 称 密 钥 进行 保密 通信 了 .传统 的 对 称 密 钥 加 
密 方法 是 对 字符 进行 加 密 处 理 。 而 现代 的 对 称 密 钥 系统 主要 是 对 二 进 制 数据 进行 加 密 处 
理 , 而 且 更 加 复杂 。 但 是 ,现代 对 称 密 钥 加 密 算 法 仍然 是 在 传统 的 加 密 算 法 的 基础 上 发 展 起 
来 的 。 


10.1.1 传统 的 对 字符 加 密 的 方法 


传统 的 加 密 算法 是 面向 字符 的 ,虽然 现在 已 经 过 时 了 ,但 是 计算 机 网 络 二 进 制 数据 的 加 
密 算法 仍然 利用 了 它 的 一 些 基 本 思想 。 传 统 的 加 密 算 法 分 为 两 大 类 : 替换 加 密 法 和 换 位 加 
密 法 ,如 图 10.3 (a) 所 示 。 
.312 。 


传统 加 密 算法 


替换 加 密 法 换 位 加 密 法 


单一 字母 替换 法 | | 多 字母 替换 法 | 
(a) 传统 加 密 算法 的 分 类 
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(b) 英文 字母 可 用 它 在 字母 表 中 的 位 置 序号 表示 
图 10.3 ”传统 加 密 算法 主要 对 字符 进行 加 密 


1. 替换 加 密 法 

替换 加 密 法 是 采用 符号 蔡 换 的 方法 来 进行 加 密 。 例 如 ,将 字母 A 蔡 换 为 D, 将 字母 T 
蔡 换 为 Z; 或 者 将 数字 3 替换 为 7, 将 2 替换 为 6。 替换 加 密 法 可 以 分 为 单一 字母 替换 法 和 
多 字母 替换 法 两 类 。 

(1) 单一 字母 蔡 换 法 : 将 明文 中 的 一 个 符号 总 是 替换 为 密 文 中 的 一 个 符号 ,二 者 在 字 
母 表 中 的 位 置 蔡 换 规则 是 不 变 的 ,是 一 对 一 的 ,和 可 逆向 转换 的 。 换 言 之 ,如 果 明 文中 的 字 
母 A 被 蔡 换 为 密 文 中 的 字母 D, 那 么 在 整个 加 密 和 解密 过 程 中 ,此 关系 是 不 变 的 。 

(2) 多 字母 替换 法 : 明文 中 的 一 个 符号 随 着 其 出 现 的 位 置 不 同 , 被 蔡 换 为 密 文中 的 字 
符 也 不 同 ,它们 之 间 的 关系 是 一 对 多 的 关系 。 例 如 ,在 明文 开始 时 的 符号 A 被 替换 为 密 文 
中 的 符号 D, 但 是 在 明文 中 的 后 部 出 现 的 A 却 被 蔡 换 为 N。 为 了 实现 这 样 的 替换 ,我 们 先 
将 明文 分 为 固定 长 度 的 字符 串 , 然 后 使 用 一 组 密 钥 进 行 替换 。 例 如 ,将 明文 “THIS IS A 
EASY TASK” 分 为 每 3 个 字符 一 组 ,然后 使 用 含有 3 个 密 钥 的 密 钥 组 分 别 对 每 个 明文 组 中 
的 3 个 字符 进行 替换 。 

例如 ,将 明文 HELLO 替换 为 密 文 KHOOR ,这 可 能 是 单一 字母 替换 ,因为 明文 中 的 两 
个 工 都 被 替换 为 密 文中 的 两 个 O。 假 如 ,明文 HELLO 替换 为 密 文 ABNZF ,这 就 不 是 单一 
字母 替换 。 

(3) 移 位 加 密 法 : 最 简单 的 单一 字母 替换 法 就 是 移 位 加 密 法 。 假 设 明文 和 密 文中 仅 含 
有 大 写 英 文字 母 A 一 Z, 每 个 字母 在 英文 字母 表 中 的 顺序 号 是 固定 的 (A=0,B 王 1,…， 
Z=25) ,如 图 10.3(b) 所 示 。 

移 位 加 密 算 法 使 用 一 个 数字 作为 移 位 密 钥 ,例如 : 密 钥 =5, 那 么 加 密 的 过 程 就 是 将 明 
文中 的 每 个 字母 替换 为 一 个 密 文字 母 , 密 文字 母 的 序号 一 明文 字母 序号 一 5Cmod 26)。 
在 解密 时 ,将 密 文 中 的 每 个 字母 替换 为 一 个 明文 字母 ,该 明文 字母 序号 一 密 文 字母 序号 十 5 
(mod 26) 。 其 中 的 (mod 26) 表 示 模 26 的 加 法 。 简 单 地 说 .在 模 26 运算 中 ,如 果 ( 字 母 序 
号 十 5) 之 26 ,那么 该 结果 等 于 总 和 减 去 26 所 得 的 余数 ;如 果 ( 字 母 序 号 一 5)<0 ,那么 其 值 就 
等 于 差 值 加 上 26 所 得 的 数 。 

1 


通俗 地 说 , 模 运 算 就 是 将 加 、 减 、 乘 、 除 运算 的 结果 除 以 模 值 ,获取 其 余数 。 关 于 模 运算 
的 详细 介绍 参看 附录 下。 

例如 , 设 密 钥 三 5, 将 明文 B 加 密 的 计算 过 程 是 : 1(B) 一 5 一 22(mod 26), 得 到 密 文 
W(22)。 解 密 的 计算 过 程 是 : W(22) 十 5 二 1(B)(mod 26)。 如 果 密 文 是 X, 解 密 的 计算 过 程 
是 : 23(X) 十 5 二 2(mod 26) ,得 到 明文 C(2)。 又 例如 , 设 移 位 密 钥 二 11, 将 报 文 HELLO 进 
行 移 位 加 密 的 计算 过 程 是 : 每 次 对 一 个 字母 加 密 ,将 每 个 明文 字母 的 序号 一 11。 因 此 ， 
H-~~W,E->T,L 一 A,O-~D。 得 到 密 文 为 WTAAD。 在 加 密 通 信 过 程 中 ,重要 的 是 对 密 钥 
的 保护 ,任何 人 得 到 了 密 钥 都 可 将 密 文 解密 。 

这 种 移 位 加 密 法 也 称 为 恺 撤 加 密 算法 .因为 恺 撒 大 帝 曾经 使 用 这 种 加 密 方法 与 他 的 军 
队 指 挥 官 进行 保密 通信 。 模 运算 的 规则 参看 : 附录 E 素数 与 模 运算 mod 的 基本 概念 。 

2， 换 位 加 密 法 

该 加 密 法 将 明文 分 为 固定 长 度 的 字 串 ,然后 将 每 个 字 串 中 的 字母 进行 重新 排 位 ,而 得 到 
密 文 。 它 并 不 进行 字母 的 蔡 换 , 它 的 密 钥 是 “明文 与 密 文字 符 位 置 的 转换 映射 表 ”。 例 如 , 设 
字符 串 的 长 度 为 4, 加密 时 将 明文 的 第 1 个 字母 换 到 密 文 的 第 3 个 字母 ,将 明文 的 第 2 个 字 
母 换 为 密 文 的 第 1 个 字母 ,将 明文 的 第 3 个 字母 换 为 密 文 的 第 4 个 字母 ,将 明文 的 第 4 个 字 
母 换 为 密 文 的 第 2 个 字母 。 解 密 时 的 换 位 过 程 与 加 密 时 相反 ,通信 的 双方 使 用 同样 的 密 钥 ， 
如 图 10.4 所 示 。 
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图 10.4 换 位 加 密 法 


例如 ,将 信息 HELLO MY DEAR 换 位 加 密 的 过 程 是 : 首先 将 信息 里 的 空格 去 掉 , 然 后 
分 成 4 个 字符 长 的 字段 块 , 在 最 后 一 个 块 (只 有 3 个 字符 ) 尾 部 填充 Z, 成 为 HELL OMYD 
EARZ 。 按 图 10.4 换 位 密 钥 进行 换 位 ,得 密 文 为 ELHLMDOYAZER。 可 以 用 相反 的 过 程 
将 此 密 文 解密 ,还 原 出 明文 。 


10.1.2 数据 加 密 的 基本 技术 


传统 的 加 密 方法 是 面向 字符 的 ,但 是 在 现代 计算 机 通信 网 络 中 需要 的 是 面向 比特 的 加 
密 方法 。 因 为 需要 加 密 的 信息 不 仅 有 文本 .而 且 还 有 数字 、 图 表 、 音 频 和 视频 数据 等 。 将 这 
些 信息 转换 为 比特 流 , 加 密 后 再 进行 传输 和 存储 。 男 外 ,将 字符 转换 为 二 进 制 代码 后 ,每 个 
字符 由 8 或 16 个 比特 蔡 代 , 即 符号 的 数量 增加 到 原来 的 8 或 16 倍 。 对 二 进 制 码 的 加 密 处 
理 比 对 字符 的 加 密 处 理 更 简便 和 有 效 。 现 代 加 密 策 略 比 传统 的 加 密 方 法 更 复杂 ,现代 的 对 
称 加 密 算法 是 下 述 各 种 基本 的 简单 加 密 算 法 的 复杂 组 合 。 

1. 异 或 加 密 法 

异 或 加 密 法 (XOR) 是 运用 了 计算 机 科学 中 二 进 制 的 异 或 运算 (Exclusive-OR) 进 行 加 
密 的 方法 。 图 10. 5(a) 是 一 个 异 或 运算 的 电路 ,可 由 硬件 或 软件 实现 。 将 一 组 固定 长 度 的 
二 进 制 明文 码 组 与 同等 长 度 的 二 进 制 密 钥 码 组 进行 XOR 异 或 运算 ,产生 出 同样 长 度 的 二 
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进 制 密 文 码 组 。 异 或 加 密 法 有 一 个 有 趣 的 特性 , 即 加 密 和 解密 过 程 完全 相同 ,因为 用 1 个 二 
进 制 密 钥 对 1 个 二 进 制 数 进行 两 次 XOR 异 或 运算 后 ,就 还 原 为 原来 的 数据 了 。XOR 异 或 
运算 本 质 上 属于 无 进位 的 模 2 加 的 运算 (mod 2)。 
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图 10.5 输入 与 输出 


例如 , 设 密 钥 K 为 (11101001) ,明文 P 为 (10010101) ,那么 用 此 对 称 密 钥 的 加 密 和 人 解密 
过 程 如 下 : 


加 密 过 程 : 明文 了 10010101 解密 过 程 : 密 文 C 01111100 
密 钥 K 由 11101001 ”< 一 密 钥 K 由 11101001 
密 文 C 01111100 明文 P 10010101 


2， 循环 移 位 加 密 法 

循环 移 位 加 密 法 (Rotation Cipher) 是 将 输入 的 二 进 制 码 组 向 左 或 向 右 移 位 循环 的 加 密 方 
法 。 这 种 加 密 方法 可 以 使 用 密 钥 ,也 可 以 不 用 密 钥 。 在 使 用 密 钥 的 循环 移 位 加 密 中 , 密 钥 定义 
了 循环 的 次 数 ,在 不 用 密 钥 的 循环 移 位 加 密 中 ,循环 移 位 的 次 数 是 固定 的 。 循 环 移 位 加 密 法 可 
以 看 成 是 传统 的 换 位 加 密 法 的 一 种 特例 。 图 10.5(b) 所 示 为 循环 移 位 加 密 法 ,可 以 由 软件 或 硬 
件 电路 来 实现 。 它 的 解密 过 程 是 使 用 相同 的 密 钥 , 向 相反 的 方向 移 位 相同 的 次 数 。 

循环 移 位 加 密 法 有 一 个 有 趣 的 特性 , 即 如 果 输 入 的 明文 码 组 有 N 位 ,那么 循环 移 位 
六 次 后 ,就 还 原 得 到 输入 的 明文 码 组 了 。 也 意味 着 ,将 输入 进行 多 于 N 一 1 次 的 循环 移 位 ， 
是 无 用 的 , 即 循环 移 位 的 次 数 应 当 介 于 1 一 CN 一 1) 之 间 。 

3. 替换 加 密 法 

替换 加 密 法 (Substitution Box,s- 盒 ) 与 传统 的 面向 字符 的 替换 加 密 法 类 似 , 但 是 它 输 入 
的 是 N 位 的 码 组 ,而 输出 的 是 M 位 的 不 同 的 码 组 。 长度 N 与 M 不 一 定 相 同 。 图 10. 6 是 
S- 盒 的 示意 图 。S- 盒 通常 是 不 需 密 钥 的 ,用 于 加 密 和 解密 的 中 间 步 又 。 输 入 与 输出 之 间 的 
关系 可 以 由 数学 关系 式 或 查 对 照 表 的 方式 进行 。 
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图 10.6 替换 加 窗 S 盒 与 换 位 加 密 P- 盒 的 原理 
全 315 就 


4. 换 位 加 密 法 

换 位 加 密 法 (Permutation box,P- 盒 ) 与 传统 的 面向 字符 的 换 位 加 密 法 类 似 ,但 它 处 理 
的 是 比特 码 组 ,不 需要 密 钥 。 有 三 种 类 型 的 P- 盒 : 直接 换 位 P- 盒 (Straight permutation) , 输 
入 与 输出 的 码 组 长 度 相 同 ;扩展 换 位 P- 盒 (Expansion permutation) ,输出 端口 数 大 于 输入 
端口 数 ; 压缩 换 位 P- 盒 (Compression permutation), 输 出 端口 数 小 于 输入 端口 数 。 
如 图 10.6 所 示 。 


10.1.3 ”数据 加 密 标准 DES 和 AES 


现代 的 对 称 密 钥 加 密 法 属于 循环 加 密 法 (Round Cipher) ,它们 包含 多 重 循环 ,每 次 循环 
都 由 上 节 介 绍 的 基本 加 密 技 术 组 合 而 成 。 每 次 循环 中 使 用 的 密 钥 是 由 基本 密 钥 (General 
key) 产 生 的 一 个 子 集 或 变换 后 的 密 钥 构成 , 称 为 循环 密 钥 。 如 果 加 密 法 中 有 N 次 循环 , 那 
么 密 钥 发 生 器 就 要 利用 基本 密 钥 来 产生 N 个 子 密 钥 : Ki ,K:,…,Kw。 其 中 : K, 用 于 第 1 
次 循环 加 密 ,K, 用 于 第 2 次 循环 加 密 ,等 等 。 

本 节 将 概念 性 地 介绍 两 个 对 称 密 钥 加 密 法 : DES 和 AES。 这 两 个 加 密 法 也 属于 “数据 
块 加 密 法 ”(Block cipher) ,因为 它们 都 是 将 明文 分 割 为 固定 长 度 的 数据 块 ,对 每 个 数据 块 用 
同样 的 密 钥 进行 加 密 和 人 解密。DES 是 事实 上 的 标准 ,AES 是 正式 的 标准 ,二 者 都 得 到 了 广 
泛 的 应 用 。 

1. 数据 加 密 标准 

数据 加 密 标 准 (Data Encryption Standard, DES) 最 初 由 IBM 公司 于 1975 年 开发 ， 
1976 年 被 美国 政府 采纳 为 非 军事 和 未 分 类 领域 应 用 的 加 密 标准 ,如 今 已 在 互联 网 中 得 到 广 
泛 应 用 。DES 使 用 58 位 密 钥 (加 上 8 位 奇偶 校 验 码 后 也 称 为 64 位 基本 密 钥 ) ,对 64 位 的 明 
文 块 进行 加 密 , 如 图 10.7 所 示 。 


| 明文 DES 数 据 加 密 标 准 

初始 换 位 
| Deen gr || 
| | 第 2 轮 加 密 -一 eh ee 
| i ! 册 产生 
| 第 16 轮 加 密 -一 一 一 一 于 了 

最 后 换 位 

64 位 1 密 文 


图 10.7 数据 加 密 标准 DES 的 基本 过 程 


DES 对 数据 加 密 的 过 程 中 包含 有 两 个 换 位 加 密 模 块 P- 盒 ,分 别 对 64 位 输入 数据 进行 
“初始 换 位 ”, 以 及 对 最 后 的 64 位 输出 数据 进行 最 后 换 位 ”处理 ,P- 盒 是 不 需要 密 钥 的 。 换 
位 的 规则 按照 专用 的 换 位 表 进行 ,最 后 换 位 的 过 程 是 初始 换 位 的 反 向 过 程 。 

DES 中 包含 了 对 数据 的 16 轮 复杂 的 加 密 处 理 , 每 轮 的 处 理 过 程 相同 ,但 是 使 用 不 同 的 
子 密 钥 ,每 个 子 密 钥 为 48 位 ,由 同一 个 基本 密 钥 经 过 循环 窗 钥 产生 器 提供 。 
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DES 中 的 每 一 轮 加 密 都 是 一 个 复杂 的 循环 加 密 过 程 ,如 图 10. 8 所 示 , 先 将 输入 的 
64 位 数据 分 为 左 32 位 和 右 32 位 ,分别 进 行 加 密 处 理 。 第 i 轮 的 输出 又 送 到 第 i 十 1 轮 
进行 加 密 处 理 。 注 意 ,每 一 轮 的 加 密 过 程 和 解密 过 程 的 数据 流向 是 不 同 的 ,但 是 基本 
密 钥 相同 。 


语 左 32 位 “ 褒 右 32 位 
局 


i 轮 左 32 位 ”于 右 32 位 
及 


= 轮子 密 钥 517 ”轮子 密 钥 
32 位 。 4 32 位 

TR, RD SD FR RY SD 
32 位 32 位 
XOR 十 ) XOR 

Litl Ritl Ll Ritl 

让 | 靶 左 33 位 二 [ 轮 石 5 位 TI 苍 左 32 位 六 [花石 52 位 
(a) 第 轮 加 密 (b) 第 轮 解 密 


图 10.8 DES 中 第 i 轮 的 数据 加 密 和 第 i 轮 数据 解密 


DES 加密 函数 /(Ri,Ki) 是 DES 的 核心 部 分 。 第 i 轮 的 DES 加 密 函 数 利 用 48 位 的 子 
密 钥 K; 对 输入 数据 中 的 右 半 部 分 32 位 数组 R; 进行 加 密 , 产 生 32 位 的 输出 。 这 32 位 的 输 
出 与 L; 进行 异 或 加 密 后 ,成 为 第 iT1 轮 的 Ri 十 1。 加 密 函 数 /(R;,K;) 由 4 种 基本 加 密 操 
作 组 成 : 异 或 加 密 、 扩 展 加密 、 蔡 换 加 密 .直接 换 位 加 密 , 如 图 10.9 所 示 。 


第 沦 的 右 32 位 R; 


ES 中 的 加 密 全 人 生 本 第 琵 的 子 密 钥 
a (48 位 
函数 /(R,K) xoR 由 | Rs 
内 部 结 物 ，| S- 全 


SISISISISISS 
32 位 
直接 换 位 P- 全 
去 XOR(32 位 ) 


图 10.9 DES 中 的 加 密 函 数 f{(Ri,KD) 的 内 部 结构 


车 对 采用 56 位 密 钥 的 DES 密 文 破译 ,如 果 采 用 依次 尝试 56 位 数组 合 的 强力 破译 
方法 ,那么 最 多 需要 尝试 25 次 破译 计算 。1976 年 ,耗资 2 000 万 美元 的 计算 机 ,可 以 
在 一 天 中 找到 密 钥 。1993 年 ,采用 100 万 美元 的 计算 机 ,3. 5 小 时 用 穷 举 法 可 以 找到 
密 钥 。1998 年 ,EFF 宣布 破译 了 DES 算法 , 耗 时 不 到 三 天 时 间 , 使 用 的 是 价值 25 万 美 
元 的 “DES 破译 机 ”。 

2. 三 重 DES 数据 加 密 系统 

1975 年 IBM 开发 的 DES 使 用 56 位 的 基本 密 钥 .其 安全 性 对 于 当时 的 计算 机 破译 能 力 
是 足够 的 。 但 是 随 着 计算 机 破译 性 能 的 日 益 增 强 .56 位 密 钥 的 DES 逐渐 显得 安全 性 不 够 
了 。 因 此 从 1998 年 以 后 ,美国 政府 不 再 采用 DES 作为 联邦 政府 的 加 密 标准 ,但 是 在 此 之 前 
已 经 产生 的 大 量 的 档案 文件 是 用 DES 加 密 的 。 目 前 在 很 多 保密 通信 中 需要 用 更 长 的 密 钥 
来 增强 安全 性 ,但 是 又 希望 采用 了 新 的 加 密 系统 后 ,能 够 与 过 去 DES 加 密 的 海量 的 档案 文 
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件 兼容 。 这 就 导致 了 三 重 DES( 或 3DES) 对 称 密 钥 加 密 系 统 的 出 现 , 即 利用 三 个 标准 的 
DES 模块 对 64 位 数据 进行 三 次 处 理 .如 图 10. 10 所 示 。 注 意 ,在 3DES 的 加 密 过 程 中 ,采用 
3 个 标准 的 DES 模块 进行 加 密 一 解密 一 加 密 的 处 理 过 程 ;而 在 3DES 的 解密 过 程 中 ,采用 
3 个 DES 进行 解密 一 加 密 一 解密 的 处 理 过程 。3DES 有 三 种 使 用 方法 : 
64 位 明文 64 位 明文 

1 
加 密 DES = Keyl1 


i 


解密 DES =f— Key2 


解密 DES [| Keyl 


加 密 DES [=f 一 Key2 


重 DES 的 加 密 
重 DES 的 解密 


解密 DES | 一 上 一 Key3 


加 密 DES ”上 上 一 Key3 


64 位 密 文 64 位 密 文 
图 10.10 三 重 DES 的 加 密 和 解密 过 程 


(1) 采用 1 个 基本 密 钥 的 3DES, 为 了 对 传统 DES 加 密 的 文件 档案 解密 ,只 要 将 3 个 基 
本 密 钥 都 设 为 相同 的 Keyl 即 可 ,此 时 的 3DES 就 完全 与 标准 DES 兼容 。 

(2) 采用 2 个 不 同 的 基本 密 钥 的 3DES, 为 了 实现 112 位 密 钥 的 加 密 ,并 且 能 让 DES 对 
抗 诸如 中 间 人 攻击 等 威胁 ,可 采用 2 个 不 同 密 钥 的 3DES, 其 中 第 1 和 第 3 个 基本 密 钥 相同 
(Keyl= Key3)。 

(3) 采用 3 个 不 同 的 基本 密 钥 的 3DES, 在 互联 网 银行 .电子 商务 等 需要 高 强度 保密 的 
3DES 加 密 系统 中 采用 3 个 不 同 的 基本 密 钥 ,使 其 等 效 密 钥 总 长 达到 168 位 。 

3. 先进 加 密 标准 

先进 加 密 标 准 (Advanced encryption standard,AES) 的 开发 原因 是 由 于 DES 的 密 钥 长 
度 太 短 。 虽 然 三 重 DESC3DES) 等 效 地 增加 了 密 钥 长 度 , 但 导致 了 数据 加 密 和 解密 处 理 速 
度 变 慢 。2002 年 5 月 美国 国家 标准 与 技术 局 NIST (National Institute of Standard and 
Technology) 正 式 采 用 了 以 两 个 比利时 发 明 者 Vincent Rijmen 和 Joan Daemen 的 名 字 命 名 
的 Rijndael 算法 ,作为 先进 加 密 标 准 AES 的 基础 ,用 于 保护 政府 部 门 的 敏感 但 是 不 分 类 的 
信息 (Sensitive But not Classified)。AES 是 一 个 很 复杂 的 轮 环 加 密 方法 (Round Cipher)， 
有 三 种 密 钥 长 度 : 128, 192 或 256 位 。AES 有 三 种 不 同 的 参数 配置 , 它们 的 结构 与 操作 
家 10 1 先进 加 密 标准 AES 的 三 种 不 同 的 参数 配置 过 程 是 相同 的 ,不 同 之 处 仅 在 于 密 钥 的 参数 
方式 。AES 至 少 与 3DES 一 样 安全 ,但 是 比 
3DES 处 理 速度 快 。 表 10. 1 所 示 为 AES 数 
据 块 长 度 、 轮 环 次 数 和 密 钥 长 度 之 间 的 关系 。 

这 里 介绍 10 轮 加 密 与 128 位 密 钥 的 配 
置 加 密 方式 。 图 10. 11 是 AES 的 结构 ,其 中 
包含 一 个 初始 的 XOR 异 或 加 密 运 算 , 接 着 
是 10 轮 加 密 处 理 , 最 后 一 轮 的 加 密 与 前 面 的 几 轮 加 密 略 有 不 同 ( 其 中 少 了 一 次 运算 )。10 
轮 加 密 的 方法 基本 相同 ,但 是 每 一 轮 使 用 的 密 钥 K 是 不 同 的 .它们 由 同一 个 基本 密 钥 经 过 
轮 环 处 理 产 生 。 

BB 


数据 块 长 度 


128 位 


128 位 明文 ” AES 总 结构 


EN 


天 
XOR “ 
六 1 Kl 
第 1 轮 加 密 | 
i 到 
| Kk 


第 2 轮 加 密 一 一 一 


第 10 办 加密 | 一 一 


轮 环 | | 128 位 
密 钥 | | 基本 密 钥 
产生 门 


128 位 密 文 


(a) 先进 加 密 标准 AES 的 总 体 结构 


图 10.11 


128 位 数据 第 轮 运算 


128 位 数据 


(b) 第 i 轮 运算 
AES 的 结构 


每 轮 加 密 运 算 的 结构 : AES 中 每 轮 加 密 中 包含 4 次 可 逆 的 运算 ,最 后 一 轮 中 只 有 3 次 
运算 ,如 图 10. 11 所 示 。 每 次 运算 的 处 理 较 复 杂 , 感 兴趣 的 话 可 参阅 相关 资料 。 

4. 其 他 几 种 对 称 密 钥 加 密 系统 

在 过 去 的 几 十 年 中 还 出 现 了 其 他 的 一 些 对 称 密 钥 的 加 密 算 法 ,其 中 大 部 分 的 结构 与 
DES 和 AES 类 似 。 不 同 之 处 在 于 数据 块 的 长 度 、 密 钥 的 长 度 、 轮 环 加 密 的 次 数 和 使 用 的 运 
算 函 数 , 但 基本 原理 是 相同 的 。 这 里 仅 做 简要 介绍 。 表 10. 2 所 示 为 常用 对 称 密 钥 加 密 系统 


的 比较 。 


算 法 
DES 
3DES 
IDEA 
Blow Fish 
RC5 


CAST-128 


表 10.2 常用 对 称 密 钥 加 密 系统 的 比较 


密 钥 长 度 
56 

112 or 168 
128 
最 大 448 
最 大 2048 
40-128 


迭代 次 数 
16 


48 


数学 运算 
XOR, S-Box 
XOR ,S-Box 
XOR， 十 ，X 
XOR ，S-Box, 十 
十 ,一 ,XOR 


十 ,一 ,S-Box 


应 用 
Kerberos，SET 
PGP, S/MIME 
PGP 


PGP 


(1) IDEA 国际 数据 加 密 算法 (International Data Encryption Algorithm) 由 Xuejia Lai 
和 James Massey 开发 。 数 据 块 为 64 位 , 密 钥 为 128 位 。 它 的 同一 算法 既 可 以 加 密 , 也 可 用 


于 解密 。IDEA 可 以 由 软件 或 硬件 实现 ,软件 实现 的 IDEA 比 DES 快 两 倍 。 


(2) Blowfish 河豚 加 密 法 ,由 Bruce Schneier 开发 。 数 据 块 为 64 位 , 密 钥 长 度 在 32 和 


448 之 间 。 


(3) CAST-128 加 密 法 由 Carlisle Adama 和 Stafford Tavares 开发 。 是 一 个 具有 16 轮 
加 密 和 4 位 数据 的 Feistel 加 密 法 , 密 钥 为 128 位 。 
(4) RC5 加 密 法 由 Ron Rivest 开发 。 是 一 类 具有 不 同 的 块 长 . 密 钥 长 和 轮 数 的 加 密 


算法 。 
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10.2 非 对 称 密 钥 通 信 系 统 


非 对 称 密 钥 通 信 系 统 也 称 为 公开 密 钥 通信 系统 , 它 使 用 两 个 密 钥 : 私有 密 钥 和 公开 密 
钥 。 本 节 将 讨论 两 种 算法 : RSA 和 Diffie-Hellman。 涉 及 的 有 关 素 数 和 模 运 算 的 概念 ,请 
参看 附录 EE 和 参考 文献 [5]。 


10.2.1 RSA 加 密 算法 


最 常用 的 公开 密 钥 加 密 算法 是 RSA, 它 的 名 称 是 三 个 发 明 者 姓名 的 组 合 : Rivest、 
Shamir 和 Adleman。ESA 加 密 算法 使 用 两 个 关键 数字 : 公 钥 e 和 私 钥 d ,系统 如 图 10. 12 
所 示 。 简 单 地 比喻 ,图 中 的 接收 方 类 似 于 网 络 银行 服务 器 , 发送 方 类 似 于 网 络 银行 客户 端的 
I 浏览 器 ,他 们 之 间 通过 公开 的 互联 网 进行 保密 通信 。 该 算法 的 数学 基础 是 初等 数论 中 的 
Euler( 欧 拉 ) 定 理 , 并 建立 在 大 整数 因子 分 解 的 困难 性 之 上 。 本 节 仅 介绍 RSA 的 加 密 和 解 
密 计算 方法 ,原理 分 析 请 参考 相关 文献 。 


“号 [3 全 “和 计算 e、d 和 n SY 
! 公众 jem 


明文 区 1 明文 
C=Pe modn | 公开 信道 ”| P=Cdmodn 
加 密 传输 密 广 解密 


图 10.12 RSA 公开 密 钥 通信 系统 


1. 如 何 选择 非 对 称 密 钥 

公 钥 e 和 私 钥 d 之 间 有 特殊 的 数学 关系 ,其 原理 涉及 数论 中 的 大 数 分 解 的 难题 ,这 里 我 
们 仅 介 绍 如 何 计算 公 钥 e 和 私 钥 d 的 具体 步骤 ,读者 可 查阅 附录 下 素数 与 模 运算 的 基本 概 
念 。 图 10.12 中 的 接收 方 用 下 述 步 又 来 选择 公 钥 和 私 钥 : 

(1) 先 选择 两 个 很 大 的 素数 p 和 gq。 素 数 是 只 能 被 自己 和 1 整除 的 数字 ; 

(2) 将 这 两 个 素数 相 乘 得 到 n 二 pXg ,这 就 是 加 密 和 解密 时 的 模 数 n(Modulus); 

(3) 计算 欧 拉 函 数 中 = 二 (p 一 1) X (g 一 1); 

(4) 随机 选择 一 个 整数 e, 然 后 计算 d, 使 得 dXe=1 (mod 中 ); 

(5) 接收 方 将 e 作为 公 钥 与 模 数 向 公众 发 布 ,自己 保留 和 4 作为 秘密 数字 。 

2. 发 送 方 加 密 的 过 程 

任何 人 都 可 以 获取 并 使 用 公开 的 e 和 向 接收 方 发 送 需要 保密 的 信息 。 例 如 ,如 果 有 
一 个 发 送 方 ( 如 网 络 银行 客户 ) 要 向 接收 方 ( 如 网 络 银行 服务 器 ) 发送 明 文 信息 P(Plain 
Text) ,他 就 用 e 和 nn 将 P 加 密 为 密 文 C(Cipher Text) ,然后 发 送出 去 。 加 密 运算 过 程 是 ， 
计算 P 的 e 次 方 ,然后 除 于 ” 取 余 数 作为 密 文 C。 加 密 计 算 公 式 如 下 : 

C= P"(modn) 

3. 接收 方 解 密 的 过 程 

接收 方 持 有 两 个 只 有 自己 知道 的 秘密 数字 中 和 d, 当 他 收 到 密 文 C 后 ,进行 解密 运算 。 
解密 运算 过 程 是 : 计算 密 文 C 的 d 次 方 .然后 除 于 nn, 取 其 余数 即 得 明文 P。 解 密 计算 公式 
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如 下 : 
P=C"(mod ?7) 

4. RSA 加 密 系统 的 限制 条 件 

要 使 RSA 能 有 效 地 工作 ,明文 尸 的 值 必须 小 于 ?7 的 值 。 如 果 已 是 一 个 很 大 的 数 , 就 要 
将 P 分 成 小 于 nn 的 若干 个 数据 块 ,分 别 加 密 传输 后 ,再 解密 合成 明文 P。 

例 10-1 如 果 接 收 方 选择 素数 p 二 7,g 二 11, 那 么 模 n 二 7X11 二 77。 数 值 二 
(7 一 1) (11 一 1) 二 60。 如 果 他 选择 e 二 13, 那 么 可 以 求 出 满足 &Xe=1 (mod gq) 的 数 4d 二 37。 
于 是 将 e 和 的 值 公 布 给 公众 。 

如 果 有 一 个 人 要 发 送 明文 P=5, 那 么 密 文 C= 二 5 二 26(mod 77) 。 然 后 将 密 文 26 发 送出 
去 。 当 接收 方 收 到 密 文 C 二 26 后 ,使 用 自己 的 私 钥 d 王 37, 求 出 明文 P==26” 二 5(mod 77) 。 

例 10-2 这 个 加 密 通 信 过 程 如 图 10. 13 所 示 。 如 果 小 张 要 给 自己 计算 一 组 密 钥 ,她 选 
择 两 个 素数 p= 二 397,g 二 401, 计 算出 n= 二 397X401 二 159 197, 中 二 396 X400 二 158 400。 然 后 
选择 e 二 343, 求 出 4 二 12 007。 然 后 将 e 和 公布 出 去 。 


P=397, q=401 


小 李 e=343, d=12007 小 张 
2 a -| n=159197 ec 
1 公 钥 


e=343 公众 


明文 明文 
NO=1314 C=131434 P=33677'2%7 NO 
mod 159197 mod 159197 1314 


加 密 解密 
图 10.13 RSA 非 对 称 密 钥 加 密 通信 举例 


如 果 小 李 要 发 送信 息 “NO” 给 小 张 ,他 按照 这 两 个 英文 字母 在 图 10. 3 字母 表 中 的 序号 
(0 一 25) ,将 它们 换 为 两 个 两 位 数 ,N 为 13.0 为 14, 合 在 一 起 得 到 明文 P 三 1314。 然 后 使 用 
e 和 nn 对 P 加 密 , 得 到 密 文 C 王 131423 一 33 677(mod 159 197) ,发 送出 去 。 

小 张 收 到 密 文 33 677 后 ,使 用 私 钥 将 它 解密 ,得 到 明文 P=33 6772zo7 一 1314(mod 159 197)， 
然后 按照 图 10. 3 字母 表 还 原 出 明文 信息 "NO”。 

在 RSA 的 加 密 和 解密 计算 中 要 用 到 模 数 计算 、 大 指数 计算 等 方面 的 一 些 特性 和 概念 ， 
详细 介绍 见 附录 下 。 上 面 两 个 简单 的 例子 是 概念 性 的 介绍 ,在 实际 应 用 的 X. 509 数字 证 书 
中 , 公 钥 长 达 4096 比特 。 

5. 数据 加 密 技术 DES 与 RSA 的 比较 

虽然 RSA 可 以 用 来 对 任何 信息 进行 加 密 通 信 , 但 是 如 果 信 息 很 长 ,那么 加 密 和 解密 的 
运算 量 很 大 ,速度 较 慢 。 因 此 RSA 适合 于 传输 较 短 的 数字 信息 ,或 者 用 来 传输 对 称 密 钥 通 
信 系 统 的 密 钥 ,例如 ,传输 DES 和 AES 的 密 钥 ,传输 数字 签名 ,进行 身份 认证 等 。 

RSA 算法 主要 用 于 : 

(1) 互联 网 中 客户 机 /服务 器 的 多 对 一 的 保密 通信 : 客户 机 用 服务 器 提供 的 公 钥 e 加 密 
信息 ,服务 器 接收 后 用 自己 的 私 钥 以 解密 收 到 的 密 文 ,获取 信息 。 

(2) 加 密 传 递 DES 的 对 称 密 钥 。 

(3) 对 文件 进行 数字 签名 及 验证 : 私 钥 d 用 于 数字 签名 , 公 钥 e 用 于 验证 (参看 第 10. 3 
节 )。 表 10. 3 为 DES 对 称 加 密 技术 与 RSA 非 对 称 加 密 技术 的 比较 。 
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表 10.3 DES 对 称 密 钥 加 密 系统 与 RSA 非 对 称 密 钥 加 密 系统 的 比较 


加 密 技 术 DES RSA 
原理 加 密 密 钥 一 解密 密 钥 (保密 ) 公 钥 发 布 , 私 钥 保密 
算法 公开 公开 
密 钥 的 安全 传送 必须 不 需要 
密 钥 数 量 必须 为 通信 对 象 的 数量 仅 用 自己 的 一 对 密 钥 
安全 性 确认 查验 是 否 泄密 比较 困难 容易 
加 密 速 度 可 达 100MB/s( 可 传 视频 ,大 文件 等 ) 可 达 10KB/s( 传 短文 件 等 ) 


10.2.2 Differ-Hellman 对 称 密 钥 交 换算 法 


在 对 称 密 钥 通信 系统 中 ,需要 进行 对 称 密 钥 的 安全 传送 或 定期 更 换 , 如 图 10. 1 所 示 。 
于 1976 年 发 布 的 以 发 明 人 的 名 字 命 名 的 DHE 密 钥 交 换算 法 (Differ-Hellman Exchange)， 
采用 巧妙 的 方法 让 通信 的 双方 间接 地 产生 相同 的 对 称 密 钥 ,以 进行 对 称 密 钥 的 保密 数据 传 
输 。 当 会 话 通 信 结 束 后 此 密 钥 就 作废 ,不 需 将 此 对 称 密 钥 保 存 了 作为 下 次 使 用 ,因为 一 个 密 
钥 的 使 用 次 数 越 多 , 越 容 易 被 破译 ,其 安全 性 就 降低 了 。 对 于 这 种 一 次 性 使 用 的 对 称 密 钥 称 
为 "会话 密 钥 ”(Session key)。 在 DHE 算法 中 ,虽然 此 会 话 密 钥 的 产生 是 通过 互联 网 进行 
的 ,但 真正 的 密 钥 并 不 经 过 互联 网 传输 ,由 此 能 有 效 防止 密 钥 的 泄漏 ,已 得 到 广泛 应 用 。 

假设 通信 的 双方 需要 通过 公开 渠道 进行 协商 ,产生 一 个 会 话 密 钥 来 进行 保密 通信 。 在 
产生 密 钥 之 前 ,双方 需要 共同 选择 两 个 数 p 和 g。 第 一 个 数 p 是 很 大 的 素数 (二 进 制 数 1024 
位 ,十 进 制 数 300 位 ) ,第 二 个 数 g 是 个 随机 数 , 这 两 个 数 不 需 要 保密 ,它们 可 以 通过 互联 网 
传输 ,也 可 以 公开 发 布 。 

1. 通信 双方 产生 对 称 密 钥 的 过 程 

通信 的 双方 通过 公开 信道 协商 ,产生 同样 对 称 密 钥 的 过 程 如 图 10. 14。 双 方 已 选择 并 
公开 户 和 8 。 

(1) 小 李 选 择 一 个 大 的 随机 数 zx, 并 计算 出 Ri 一 8 (mod p); 

(2) 小 张 选择 了 男 一 个 大 的 随机 数 y. 并 计算 出 Rs 一 gs?*(Cmod p); 

(3) 小 李 通 过 公 网 将 R1l 发送 给 小 张 (注意 ,小 李 没 有 发 送 自 己 的 随机 数 x) ,小 张 用 收 
到 的 R1 计算 出 对 称 密 钥 K== (Ri)? (mod p); 

(4) 小 张 通过 公 网 将 R2 发 送 给 小 李 ( 注 意 . 小 张 没有 发 送 自 己 的 随机 数 y) ,小 李 用 收 
到 的 R2 计算 出 对 称 密 钥 K==(R,)*(mod p); 

(5) 双方 都 获得 了 同样 的 对 称 密 钥 .而 上 述 过 程 中 K 并 没有 通过 公 网 传输 。 

上 述 过 程 的 证 明 很 简单 ,将 上 述 第 1 步 的 Ri 表达 式 , 代 入 第 3 步 的 表达 式 中 ,并 利用 附 
录 巨 模 数 运算 的 规则 ,得 到 以 下 结果 : 

K = (Ri)’(mod p) 一 (8 mod p)*(mod p) = (g” mod p)’(mod p) = (RD COmod p) 

虽然 小 张 不 知道 小 李 的 x+, 小 李 也 不 知道 小 张 的 y, 但 是 他 们 都 各 自 通过 计算 得 到 了 相 
同 的 密 钥 玉 。Differ-Hellman 协议 得 到 的 共享 对 称 密 钥 为 氏 =s? (mod p)。 在 此 过 程 中 对 
称 密 钥 没 有 在 两 者 间 传 输 ,保障 了 对 称 密 钥 的 安全 。 
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例如 ,假设 通信 的 双方 小 李 和 小 张 都 约定 并 公开 数值 g 二 7,p 二 23,( 实 际 中 这 两 个 值 很 
。 那 么 他 们 利用 公开 信道 分 别 产 生 相 同 密 钥 的 过 程 如 下 : 

(1) 小 李 选 择 一 个 随机 数 z= 二 3, 计 算出 Ri 二 7 (mod 23) 一 21; 

(2) 小 张 选择 一 个 随机 数 y 二 6, 计 算出 Rs 二 7° (mod 23) 一 4; 

(3) 小 李 将 数值 21 传 给 小 张 ,小 张 计 算出 对 称 密 钥 K 二 21° (mod 23) 二 18; 

(4) 小 张 将 数值 4 传 给 小 李 ,小 李 计 算出 对 称 密 钥 K 二 4 (mod 23) 王 18。 

小 李 和 小 张 得 到 的 密 钥 是 相同 的 : g” (mod p) 二 7*(mod 23) 王 18。 如 果 有 第 三 者 通 
过 公 网 知道 了 公开 的 p 和 g ,并 截获 了 传输 的 R 和 R; .但 是 不 知道 + 或 y, 他 也 不 可 能 算出 


密 钥 KK。 
好 p 和 8 的 值 是 公开 的 “® 


+ 


| 
(1) | Ri=g*modp R=g” modp | (2) 
G3) RI a AR (4) 
| 
(5) | K=(R2) ”mod K=(RI)” modp | (6) 
en 共享 对 称 密 钥 _ _____ 
| K=g vw modp 


图 10.14 利用 Differ Hellman 协议 产生 对 称 密 钥 的 过 程 


2. DHE 对 称 密 钥 交换 协议 的 基本 原理 

对 称 密 钥 交换 (Diffie-Hellman Key Exchange,DHE) 协 议 的 原理 实际 上 非常 巧妙 地 利 
用 了 和 窒 运 算 中 的 一 个 简单 的 方法 。 我 们 可 以 将 小 李 和 小 张 之 间 的 秘密 密 钥 看 成 由 3 个 部 分 
所 组 成 : gx 和 y。 其 中 g 是 大 家 都 知道 的 公开 数值 。 小 李 收 到 8 后 进行 x 次 方 运算 ,小 
张 收 到 g” 后 进行 y 次 方 运算 ,他 们 分 别 得 到 了 未 经 网 络 传输 的 相同 的 密 钥 。DHE 算法 利 
用 了 指数 运算 的 一 个 很 简单 的 特性 : 8? =8s” ,也 是 利用 了 乘法 运算 的 可 互 换 性 质 ， 
ZXy= yx。 

3. DHE 协议 对 抗 中 间 人 攻击 的 措施 

(DHE)Diffie-Hellman Exchange 是 一 个 很 好 的 产生 对 称 密 钥 的 方法 ,如 果 x 和 yy 的 数 
值 足够 大 ,窃听 者 即使 知道 了 公开 的 p 和 4g, 他 也 很 难 算出 密 钥 。 如 果 和 窃听 者 还 截获 到 了 
Rl 和 R2, 要 从 R1 中 找到 xz, 要 从 R2 中 找到 y, 也 是 很 困难 的 。 即 使 用 最 快 的 计算 机 来 搜 
索 此 密 钥 , 也 要 数 年 的 时 间 。 另 外 ,用 此 方法 产生 的 会 话 密 钥 仅 用 一 次 ,下 一 次 通信 时 又 换 
成 男 外 的 密 钥 。 

然而 DHE 协议 也 有 一 个 潜在 的 问题 ,窃听 者 可 以 用 中 间 人 的 方法 获取 通信 的 秘密 ,而 
不 需要 知道 x 和 yy, 这 称 为 中间人 攻击 "(参看 第 11 章 图 11. 2) 。 在 如 图 10. 15 所 示 的 系统 
中 ,进行 中 间 人 攻击 的 过 程 如 下 : 窃听 者 可 以 装扮 成 小 张 与 小 李 联 系 , 与 小 李 协 商 后 产生 一 
个 密 钥 Kl1。 然 后 他 再 装扮 成 小 李 与 小 张 联系 ,与 小 张 协商 后 又 产生 了 另外 一 个 密 钥 K2。 
这 样 , 窍 听 者 就 可 以 在 小 李 和 小 张 之 间 充 当 了 一 个 转发 信息 的 中 间 人 ,而 他 们 在 通信 的 时 候 
完全 察觉 不 到 有 中 间 人 的 存在 。 因 为 中 间 人 可 从 公开 渠道 获知 g 和 pp 两 个 数据 ,他 实施 的 
中 间 人 攻击 过 程 如 下 : 
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小 李 窃听 者 小 张 
中 间 人 


Ri=g* modp 


R=g: modp 


Rs=g” modp 


KI-(Rs)' modp 


Ks(R3): mod p Ky-(R,)’ modp 
小 李 与 窃听 者 窃听 者 与 小 张 

矿 ” 的 共享 密 钥 ““ “| “的 共享 密 铀 “| 
Ki=g™= modp Ks=g* modp 


图 10.15 窃听 者 进行 “中间人 攻击 ?的 过 程 


(1) 小 李 选 择 了 一 个 随机 数 z, 计 算 RI 王 8s(mod p) ,将 Ri 发 给 小 张 ; 

(2) 窃听 者 截获 了 R1, 他 选择 一 个 随机 数 = ,计算 Rs 一 gs(Cmod p) ,将 R2 同时 发 给 小 李 
和 小 张 ; 

(3) 小 张 选择 随机 数 y, 计 算 R; 王 g*(mod p) ,将 Rs 发 给 小 李 , 但 是 被 窃听 者 截获 ; 

(4) 小 李 与 穷 听 者 协商 后 计算 出 他 俩 的 共享 密 钥 人 1 一 8s= (mod p) ,小 李 误 认为 对 方 就 
是 小 张 ; 

(5) 小 张 与 窃听 者 计算 出 他 俩 的 共享 密 钥 Ks 二 g* (mod p), 小 张 误 认 为 对 方 就 是 
小 李 。 

上 述 过 程 中 产生 了 两 个 密 钥 K 和 K; ,小 李 用 K, 加 密 信息 后 发 给 小 张 ,但 是 被 窃听 者 
收 到 并 解密 ,然后 窃听 者 将 小 李 的 信息 用 K。 加 密 后 发 给 小 张 ,小 张 收 到 后 用 K, 解密 。 同 
样 , 当 小 张 要 发 送信 息 给 小 李 时 , 信 息 也 被 窃听 者 用 同样 的 方法 截获 ,他 们 都 被 窃听 者 欺骗 
了 ,信息 已 泄漏 。 例 如 ,在 以 太 网 中 利用 ARP 诱骗 技术 ,第 三 者 很 容易 插入 到 内 网 客户 与 
外 网 服务 器 之 间 ,实现 这 样 的 中 间 人 攻击 。 

防止 在 使 用 DHE 算法 时 产生 中 间 人 攻击 的 方法 是 ,小 李 和 小 张 首先 相互 之 间 进 行 身 
份 认证 。 换 言 之 ,通过 网 络 交换 数据 来 产生 对 称 密 钥 之 前 ,先进 行 互相 之 间 的 身份 认证 ,就 
可 以 防止 中 间 人 攻击 的 行为 出 现 。 在 互联 网 中 常用 X. 509 数字 证 书 进行 身份 认证 , 详 见 下 
节 所 述 。 


10.3 ”信息 安全 技术 提供 的 服务 


信息 安全 技术 能 够 提供 的 服务 有 5 种 ,其 中 4 种 属于 用 网 络 传输 信息 的 安全 服务 : 信 
息 加 密 , 信 息 的 完整 性 验证 ,信息 源 的 认证 , 防 拒 认 。 第 5 种 服务 是 提供 对 网 络 基础 设备 的 
认证 与 识别 ,参看 图 10. 16 。 
(1) 信息 的 保密 和 隐私 (Privacy) : 发 送 方 和 接收 方 希望 传输 的 信息 仅 局 限于 通信 双方 
内 部 交流 ,这 些 信息 是 不 希望 被 第 三 方 知道 的 。 例 如 , 当 客 户 与 银行 进行 网 络 交 易 时 ,双方 
都 需要 对 传输 数据 保密 。 常 用 的 技术 有 : DES、3DES、RSA 等 。 
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网 络 信息 安全 服务 


信息 安全 实体 安全 


| 
信息 保密 | | 信息 的 完整 性 | | 身份 认证 | | 防 拒 认 | | 网 络 实体 的 认证 识别 


图 10.16 网 络 安全 服务 的 分 类 


(2) 信息 的 完整 性 验证 (Authentication) : 即 传输 的 数据 必须 准确 地 被 接受 方 收 到 ,并 
且 数据 在 传输 的 过 程 中 没有 被 无 意 地 或 故意 地 改变 。 当 越 来 越 多 的 金融 交易 在 互联 网 上 传 
输 时 ,保证 数据 信息 传输 的 完整 性 成 为 一 个 关键 的 问题 。 例 如 ,如 果 用 户 要 在 网 络 银行 上 进 
行 100 元 的 转账 ,结果 却 被 中 间 人 算 改 为 1 000 000 元 ,这 就 是 一 个 灾难 性 的 后 果 。 报 文 的 
完整 性 验证 一 般 使 用 报 文 的 Hash 值 或 报 文摘 要 (message digest) ,常用 的 技术 有 : SHA-1、 
SHA-256、MD5 .CRC-32 等 。 

(3) 信息 源 的 认证 : 信息 的 接收 方 需要 确认 信息 发 送 者 或 签发 者 的 身份 ,以 防 冒名 项 
检 ,对 每 个 重要 文件 都 要 分 别 验 证 其 签发 者 的 签名 。 常 用 的 技术 有 对 文件 的 数字 签名 等 。 
报 文 的 Hash 值 只 对 报 文 的 完整 性 进行 验证 , 而 报 文 的 认证 码 MAC (Message 
Authentication Code) 是 利用 签发 者 的 私 钥 对 报 文 的 Hash 值 加 密 后 得 到 的 数值 ,如 果 接 收 
方 利 用 签发 者 的 公 钥 对 MAC 解密 后 获得 了 正确 的 Hash 值 ,那么 就 可 同时 验证 了 报 文 的 
完整 性 以 及 签发 者 的 身份 。 

(4) 信息 签发 者 的 防 拒 认 : 如 果 发 送 方 曾经 发 送 过 信息 给 接收 方 ,但 是 却 否 认 是 自己 
发 送 的 ,那么 接收 方 就 要 提出 证 据 , 防 止 抵赖 。 例 如 , 当 一 个 网 络 银行 的 客户 从 网 络 上 将 资 
金 从 一 个 账户 转移 到 另 一 个 账户 ,银行 就 需要 有 证 据 表明 这 个 转账 确实 是 该 客户 要 求 做 的 ， 
是 不 可 抵赖 的 。 常 用 的 技术 有 DSS 数字 签名 、RSA 等 。 

(5) 网 络 实体 的 认证 识别 : 网 络 实体 指 的 是 网 络 用 户 或 主机 设备 等 , 当 实体 要 访问 系 
统 的 资源 时 ,必须 要 先 对 双方 的 真实 身份 进行 认证 ,通过 认证 后 ,在 本 次 通信 过 程 中 的 具体 
操作 就 不 需要 再 认证 了 。 例 如 , 当 客 户 要 通过 一 个 主机 浏览 器 访问 网 络 银行 服务 器 时 ,必须 
要 认证 此 服务 器 是 否 钓鱼 网 站 ,以 及 客户 是 否 为 合法 的 注册 用 户 , 双 方 都 通过 身份 认证 后 ， 
在 本 次 上 网 会 话 期 间 就 不 需要 再 重复 验证 了 。 常 用 技术 有 X. 509 数字 证 书 , 用 户 账号 和 口 
令 ,主机 物理 地 址 和 IP 地 址 等 。 


10.3.1 网 络 信息 的 保密 通信 


在 通信 网 络 中 需要 对 传输 的 信息 进行 保密 ,防止 隐私 的 泄漏 。 发 送 方 将 明文 信息 转换 
为 密 文 ,在 接收 方 进行 解密 ,第 三 方 窃听 者 收 到 密 文 后 无 法 破解 其 中 的 内 容 。 上 节 已 介绍 过 
现代 信息 加 密 技术 分 为 两 大 类 : 对 称 密 钥 加 密 技术 (也 称 为 秘密 密 钥 加 密 技术 )、 非 对 称 密 
钥 加 密 技 术 (也 称 为 公开 密 钥 加 密 技 术 ) 。 

1. 利用 对 称 密 钥 的 保密 通信 

此 系统 中 ,发 送 方 与 接收 方 在 通信 的 时 候 使 用 相同 的 密 钥 分 别 进行 加 密 和 解密 , 密 钥 的 
使 用 次 数 越 多 和 使 用 时 间 越 长 , 它 的 安全 性 就 越 低 ,因为 当 窃 听 者 获得 足够 多 的 密 文 样本 
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后 ,就 可 利用 功能 强大 的 计算 机 来 破解 加 密 的 密 钥 。 因 此 ,一 个 密 钥 的 使 用 次 数 和 时 间 是 受 
限制 的 ,过 使 用 期 后 就 将 此 密 钥 报 废 我们 称 这 样 的 一 次 性 密 钥 为 会 话 密 钥 (Session key) 。 
保密 通信 的 双方 可 以 是 两 个 特定 的 个 体 , 例 如 ,两 个 朋友 之 间 ,或 军队 的 上 级 和 下 级 之 间 等 。 
在 过 去 ,我 们 可 以 派遣 信使 进行 秘密 密 钥 的 人 工 传递 。 但 是 ,如 今 的 很 多 保密 通信 的 应 用 领 
域 是 不 可 能 采用 这 种 方法 的 ,例如 海军 基地 与 潜艇 之 间 的 密 钥 传递 等 ,另外 ,保密 通信 用 户 
数量 十 分 巨大 ,需要 采用 更 加 有 效 的 方法 来 传递 和 更 换 对 称 密 钥 。 

为 了 提高 对 称 密 钥 通 信 的 安全 性 ,通信 的 双方 也 可 以 同时 使 用 两 个 不 同 的 对 称 密 钥 。 
甲 方 发 送 给 乙方 的 信息 用 对 称 密 钥 K! 加 密 ,而 乙方 发 送 给 甲 方 的 信息 用 对 称 密 钥 K2 加 
密 。 例 如 SSL 协议 就 采用 这 样 的 方法 ,即使 其 中 一 个 密 钥 被 破解 了 ,只 会 泄露 一 个 方向 的 
通信 数据 ,而 另 一 个 方向 的 数据 依然 保密 。 

用 对 称 密 钥 进行 信息 的 加 密 和 解密 过 程 , 可 以 用 软件 或 硬件 来 实现 , 它 的 加 密 速 度 比 非 
对 称 密 钥 通 信 快 ,通常 用 于 加 密 传 输 较 长 的 报 文 信息 。 

2. 利用 非 对 称 密 钥 的 保密 通信 

非 对 称 密 钥 保密 通信 使 用 两 个 密 钥 : 公开 密 钥 和 私有 密 钥 ,如 RSA 加 密 算法 等 。 它 有 
两 类 用 法 : 

第 一 类 是 用 于 加 密 通信 。 例 如 在 网 络 银 行 系统 中 .服务 器 (是 信息 的 接收 方 ) 将 自己 的 
公开 密 钥 发 布 在 网 页 中 ,银行 的 客户 (是 信息 的 发 送 方 ) 用 浏览 器 访问 银行 网 页 获取 它 的 公 
开 密 钥 后 ,将 信息 加 密 发 给 银行 ,银行 利用 只 有 自己 知道 的 私有 密 钥 将 收 到 的 密 文 解密 。 非 
对 称 密 钥 的 保密 通信 存在 几 个 问题 ,首先 使 用 的 密 钥 长 度 必须 很 长 (例如 4096bit) ,对 信息 
加 密 和 解密 的 运算 量 很 大 ,效率 较 低 ,不 适合 加 密 长 的 信息 。 另 外 ,客户 (信息 的 发 送 方 ) 必 
须要 确认 他 从 网 站 获得 的 公 钥 确实 是 来 自 银行 (接收 方 ) 的 ,而 不 是 来 自 第 三 方 冒名 顶替 者 。 
因为 窃 秘 者 也 可 以 设置 一 个 与 网 络 银行 完全 相似 的 “钓鱼 网 站 ”, 将 窍 密 者 的 公开 密 钥 发 给 
客户 下 载 , 由 此 套 取 客户 的 机 密 信息 。 

第 二 类 是 用 于 身份 验证 。 银 行 发 送 一 个 不 需要 保密 的 账单 给 客户 ,但 须 对 此 账单 进行 
数字 签名 , 即 银行 用 自己 的 私有 密 钥 对 账单 的 哈 硕 值 加 密 。 客 户 收 到 账单 后 ,利用 银行 的 公 
开 密 钥 对 账单 的 加 密 哈 希 值 进行 解密 。 如 果 成 功 ,就 证 明了 此 账单 确实 是 该 银行 签发 的 ,并 
且 未 受 算 改 , 详 见 图 10. 17。 


根据 比较 判别 ， 接 收 或 抛弃 
报 广 报 文 报 文 广 | Hash 上 | 报 文 
发 送 方 私有 网 络 传输 算法 | “| 摘要 
公开 
发 布 [Hash| [ 报 文 | | 加密 加 密 | | 窗 多 | 接收 方 用 对 方 
算法 "| 摘要 "| 搞 要 摘要 | _| 就 各 | 公开 密 钥 解 密 


图 10.17 数字 签名 用 于 报 文 的 完整 性 验证 和 发 送 方 的 身份 认证 


10.3.2 报 文 的 完整 性 验证 


通信 中 对 信息 的 加 密 和 解密 处 理 可 以 提供 信息 的 保密 ,但 是 不 能 验证 信息 是 否 完整 。 
在 有 些 网 络 应 用 中 ,我 们 不 需要 对 信息 保密 ,但 是 需要 防止 信息 被 非法 修改 。 例 如 ,对 一 张 
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税务 发 票 上 的 内 容 是 不 需要 保密 的 ,但 是 要 防止 对 发 票 上 数据 的 非法 修改 。 又 如 , 李 先 生 去 
世 前 留 下 遗嘱 ,指定 了 自己 遗产 的 继承 者 ,遗嘱 是 不 需要 保密 的 ,但 是 要 防止 被 别人 非法 修 
改 。 再 如 ,有 些 网 站 提供 大 量 的 免费 软件 或 图 片 资料 下 载 ,用 户 需要 验证 这 些 免 费 下 载 软件 
中 是 否 被 算 改 过 ,或 被 捆绑 了 恶意 的 木马 程序 等 。 
1. 纸 质 文件 与 指纹 印记 
用 于 验证 纸 质 文件 内 容 完 整 性 的 一 种 方法 是 使 用 指纹 技术 (fingerprint) ,例如 , 李 先 生 
可 以 在 自己 的 遗嘱 文件 上 以 及 律师 那里 分 别 留 下 指纹 印记 ,他 去 世 后 可 以 通过 对 照 律师 保 
管 的 指纹 的 方式 来 确认 遗嘱 文件 的 真 伪 。 又 如 ,银行 可 以 将 收 到 的 支票 上 的 印章 与 银行 内 
留存 的 印章 样本 进行 对 照 ,来 鉴别 支票 的 真 伪 性 。 
2. 电子 报 文 与 报 文摘 要 
为 了 验证 电子 文件 的 完整 性 ,可 以 采用 某 种 算法 (SHA 、MD5 等 ) 从 该 文件 中 计算 出 一 
个 报 文摘 要 (message digest) ,由 此 摘要 来 鉴别 此 报 文 是 否 被 非法 修改 过 。 一 个 报 文 与 该 报 
文 产生 的 报 文摘 要 是 配对 的 。 例 如 ,在 本 书 附录 中 介绍 的 “ 校 验 和 ”与 “CRC 校 验 码 " 用 于 鉴 
别传 输 后 的 数据 是 否 出 错 ,这 也 属于 文件 完整 性 的 验证 。 参 看 图 10. 17 ,发 送 方 从 要 发 送 的 
报 文 数据 中 按照 某 种 约定 的 算法 计算 出 报 文摘 要 ,再 用 自己 的 私有 密 钥 将 报 文摘 要 加 密 , 然 
后 附加 在 报 文 后 部 一 起 传输 。 加 密 后 的 报 文摘 要 也 称 为 “ 报 文 验证 码 MAC”。 接 收 方 从 收 
到 的 报 文中 按照 约定 的 算法 计算 出 报 文摘 要 ,再 利用 发 送 方 的 公开 密 钥 将 收 到 的 加 密 摘要 
解密 ,进行 二 者 对 照 ,就 可 检验 出 该 报 文 是 否 被 算 改 过 。 因 为 收 到 的 加 密 摘要 是 用 发 送 方 的 
私有 密 钥 加 密 的 ,接收 方 只 有 用 发 送 方 的 公开 密 钥 解密 才能 得 到 正确 的 摘要 ,伪造 者 如 果 得 
改 了 的 报 文 就 不 可 能 产生 与 原 报 文 相同 的 报 文摘 要 。 在 此 过 程 中 即 实 现 了 对 发 送 文件 的 
“数字 签名 ”, 它 包含 两 个 目的 : 一 是 验证 报 文 发 送 者 的 真实 性 ,二 是 验证 报 文 传输 后 是 否 出 
错 或 被 算 改 。 
如 果 用 " 校 验 和 ”的 算法 来 产生 报 文摘 要 存在 一 些 不 足 , 实 际 中 常用 Hash 散 列 算法 来 
产生 报 文摘 要 。"* 纸 质 文件 加 指纹 印记 ”和 “电子 报 文 加 摘要 ”这 两 种 验证 方法 的 基本 概念 是 
相同 的 ,差别 在 于 前 者 是 用 物理 方法 将 “ 纸 质 文件 ”与 “指纹 印记 "联系 起 来 ,它们 都 不 需要 保 
密 。 而 后 者 的 “摘要 ”是 从 电子 报 文 中 计算 产生 的 。 
3. Hash 算法 须 满足 的 条 件 
哈 希 算法 (Hash) 也 称 为 散 列 函数 ,利用 Hash 算法 从 发 送 的 报 文 数据 中 计算 出 Hash 
值 (也 称 为 散 列 值 . 报 文摘 要 Digest) 。 接 收 端 利 用 报 文摘 要 判别 报 文 的 完整 性 。 选 择 哈 希 
算法 必须 满足 3 个 条 件 : 单 向 性 (One-wayness)、 弱 冲突 的 抗拒 性 (Weak Collision 
Resistance), 强 冲突 的 抗拒 性 (Strong Collision Resistance) 。 
。 单 向 性 : 用 户 发 送 的 报 文 长 度 是 各 不 相同 的 ,要 从 不 同 长 度 的 报 文中 计算 产生 出 固 
定 长 度 的 报 文摘 要 ,并 且 不 能 利用 报 文摘 要 反 向 推测 出 原来 的 报 文 内 容 以 及 报 文 长 
度 。 这 称 为 哈 希 算法 的 单 向 性 。 

。 弱 冲 突 的 抗拒 性 : 当 给 定 一 个 报 文 并 计算 出 它 的 摘要 ,其 他 人 要 找到 具有 相同 摘要 
的 报 文 是 很 困难 的 ,甚至 是 不 可 能 的 。 如 果 有 两 个 报 文 产 生 了 同样 的 摘要 ,就 称 为 
产生 了 冲突 。 

。 强 冲突 的 抗拒 性 : 要 防止 发 送 方 能 够 产生 具有 同样 摘要 的 两 个 报 文 。 和 否则 发 送 方 

发 送 了 一 个 报 文 后 ,利用 保留 的 第 二 个 报 文 的 摘要 来 否认 自己 曾经 发 送 过 的 第 一 个 
“ 327 3 


报 文 的 内 容 。 例 如 ,在 商务 合同 中 要 防止 不 同 的 合同 内 容 具 有 相同 的 报 文摘 要 。 这 种 
冲突 比 上 一 种 情况 具有 更 严格 的 要 求 , 因 此 称 为 强 冲突 的 抗拒 性 。 报 文摘 要 的 长 度 越 
长 ,产生 冲突 的 概率 就 越 小 ,例如 SHA-1 的 Hash 值 长 度 为 160 bits, 而 SHA-256 的 
Hash 值 长 度 为 256bits, 因 此 更 安全 。 
满足 上 述 3 个 条 件 的 Hash 值 可 用 于 : 检验 报 文 的 完整 性 ;可 作为 文件 的 ID 标识 (参看 
第 12 章 介 绍 的 DHT 分 布 式 Hash 表 , 及 其 在 互联 网 P2P 对 等 应 用 系统 的 信息 搜索 中 的 应 
用 )。 
附录 B 介绍 了 网 络 通 信 中 数据 包头 部 常用 的 校 验 和 (Checksum) 的 算法 , 它 能 够 满足 单 
向 性 的 要 求 , 但 是 不 能 满足 后 两 个 判决 条 件 。 在 附录 D 中 介绍 了 CRC-32 循环 元 余 校 验 码 
的 计算 方法 , 它 常 用 于 通信 和 以 太 帧 的 尾部 作 误 码 检测 ,在 要 求 不 高 的 情况 下 也 可 以 用 于 文 
件 的 完整 性 校 验 , 见 图 10. 19 。 
4. 安全 哈 希 算法 SHA-1 和 报 文摘 要 MD5 
有 多 种 不 同 的 Hash 哈 希 算法 ,最 常用 的 是 安全 哈 希 算法 SHA-1 (Secure Hash 
Algorithm 1) , 它 是 美国 国家 标准 技术 局 NIST(National Institute of Standard) 设 计 的 SHA 
版 本 1, 也 被 公布 为 美国 联邦 信息 处 理 标 准 FIPS (Federal Information Processing 
Standard)。 目 前 最 新 的 版 本 是 SHA-256 。 
图 10. 18 为 用 SHA-1 算法 从 报 文中 计算 摘要 的 过 程 。 先 将 任意 长 的 报 文 按 照 固定 长 
度 512bits 分 段 为 数据 块 ,如 果 最 后 的 数据 块 不 足 512bits, 则 不 足 部 分 用 0 填充 。 首 先 , 在 
一 个 Nbits 的 缓存 器 中 存放 着 通信 双方 事先 商定 的 秘密 初始 值 ,将 此 Nbits 的 初始 值 与 报 
文 的 第 1 个 512bits 数据 块 在 处 理 器 中 进行 复杂 的 运算 ,产生 出 第 1 个 Nbits 的 中 间 摘 要 。 
再 将 第 1 个 中 间 摘 要 作为 初始 值 与 第 2 个 报 文 数据 块 在 第 2 个 处 理 器 中 进行 复杂 的 运算 ， 
产生 出 第 2 个 Nbits 的 中 间 摘 要 。 按 此 处 理 , 直 到 产生 出 最 后 一 个 Nbits 的 报 文摘 要 ,这 就 
是 整个 报 文 的 输出 结果 。 在 SHA-1 算法 中 ,摘要 长 度 N==160 位 。 


区 将 报 文 分 块 ， 填 充 为 512-bit 的 整数 倍 | 
[ Si2bits | Si2bits | Si2bits | … | si2bits | 
1 en 

缓存 器 ”| | | 处 理 器 处 理 器 处 理 器 笃 处 理 器 | | 

初始 值 | f 1 i! 

Nbits | | | | Nbits Nbits Nbits 本 Nbits | 报 文摘 要 
| 


图 10.18 利用 安全 Hash 算法 SHA-1 产生 报 文摘 要 的 过 程 


因为 SHA-1 是 公开 的 标准 算法 ,如果 通信 双方 每 次 会 话 前 都 重新 设置 缓存 器 中 的 秘密 
初始 值 ,那么 在 不 同 的 会 话 中 传输 同样 的 报 文 ,其 SHA-1l 的 报 文摘 要 都 不 同 ,这 可 防止 重 放 
攻击 。 即 不 知道 初始 值 的 人 不 可 能 获得 正确 的 报 文 摘要 ,加强 了 此 报 文摘 要 的 安全 性 与 可 
靠 性 。 关 于 缓存 器 初始 值 在 SSL 的 预 设 初始 矢量 中 的 应 用 ,参看 第 11 章 。 

MD5 (Message Digest version 5) 是 早期 的 报 文摘 要 算法 ,其 算法 结构 类 似 SHA, 但 是 
没有 缓存 器 初始 值 ,产生 的 报 文摘 要 为 128 位 。 使 用 中 SHA 的 运算 速度 比 MD5 慢 25%， 
产生 的 报 文摘 长 度 增加 25% ,但 是 SHA 增加 了 让 通信 双方 预 设 缓存 器 秘密 初始 值 等 改进 
措施 ,等 效 于 可 进行 通信 双方 的 身份 认证 ,因此 SHA 比 MD5 更 安全 。MD5 仅 用 于 对 安全 
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性 要 求 不 很 高 的 地 方 。 

网 络 通信 中 有 两 种 方法 用 于 传输 报 文 与 报 文摘 要 。 图 10. 17 中 为 了 将 “摘要 ”与 “ 报 文 ” 
通过 同一 信道 传输 ,就 必须 对 “摘要 ”进行 加 密 处 理 , 产 生 一 个 “加 密 的 摘要 ”, 也 称 为 “ 报 文 验 
证 码 MAC”。 第 二 种 方法 不 必 将 摘要 加 密 ,而 是 将 报 文 与 该 报 文 的 摘要 分 别 通过 两 种 信道 
传输 。 例 如 ,可 将 文件 通过 电子 邮件 发 送 给 接收 者 ,而 将 该 文件 的 报 文 摘要 ( 即 不 加 密 的 哈 
和 希 值 ) 通 过 移动 通信 系统 发 送 到 接收 者 的 手机 短 
信 上 ,接收 者 用 它 与 从 电子 邮箱 收 到 的 文件 中 计 。 | [让 
算出 的 哈 希 值 比较 而 验证 文件 的 完整 性 。 和 RE 

Hash Tab 是 一 个 优秀 的 免费 Windows 外 过 
扩展 程序 ,可 以 从 开发 方 网 站 www. implbits. 
com 下 载 最 新 版 本 ,安装 后 在 C:\Windows \ 
System32 下 生成 HashTab. dll 文件 。 图 10. 19 
是 运行 Hash Tab 3. 0 后 在 Windows XP 资源 管 
理 器 的 “文件 属性 ”中 增加 的 “文件 校 验 ”标签 ,也 
可 以 将 鼠标 放 在 文件 名 上 单 击 右键 打开 文件 “ 属 图 10.19 Hash Tab 在 Windows XP 的 文 
性 ”中 看 到 “文件 校 验 ”标签 。 它 可 自动 计算 出 该 件 属性 中 增加 文件 校 验 功能 
文件 的 3 种 校 验 码 : MD5 哈 希 值 .SHA-1 哈 希 值 
和 CRC-32 循环 元 余 校 验 码 。 从 图 中 可 看 出 ,MD5 的 哈 希 值 长 度 为 128 比特 ,用 32 个 十 六 
进 制 数 表示 ;SHA-1 的 哈 希 值 长 度 为 160 比特 ,用 40 个 十 六 进 制 数 表示 ;CRC-32 循环 元 余 
校 验 码 长 度 为 32 比特 ,用 8 个 十 六 进 制 数 表示 (参看 附录 D CRC 循环 匈 余 校 验 码 的 计算 )。 

Hash Tab 用 途 举 例 : 

(1) 当 用 户 从 某 网 站 下 载 了 一 个 软件 ,为 了 判断 此 软件 是 否 被 算 改 过 或 被 嵌入 了 恶意 
木马 等 程序 ,可 以 利用 此 “文件 校 验 ” 栏 自动 计算 出 该 软件 的 哈 希 值 (图 中 上 格 的 数据 ) ,然后 
将 该 软件 开发 者 或 下 载 网 站 在 下 载 文 件 描述 中 给 出 的 标准 校 验 码 填 入 图 中 的 下 格 栏 中 , 单 
击 “ 比 较 ”, 就 可 判断 该 软件 的 真 伪 

(2) 对 公司 的 财务 报表 数据 文件 .银行 的 重要 的 档案 文件 等 存储 或 传输 后 的 日 常 的 完 
整 性 校 验 。 

5. 报 文 签发 者 的 身份 认证 

利用 由 Hash 算法 产生 的 报 文摘 要 ,可 以 判断 报 文 是 否 被 算 改 或 出 错 ,但 是 还 不 能 判断 
收 到 的 报 文 是 否 是 真实 的 发 送 方 签发 的 ,还 是 冒名 顶替 者 发 出 的 。 因 此 还 需要 对 报 文 摘要 
进行 加 密 处 理 , 产 生 一 个 “ 报 文 认证 码 (Message Authentication Code, MAC)”, 由 此 实现 对 
报 文 发 送 者 的 身份 确认 。 对 报 文摘 要 加 密 来 获得 报 文 认证 码 MAC 的 方式 有 3 种 : 

(1) 采用 对 称 密 钥 加 密 。 收 发 双方 必须 事先 约定 相同 的 对 称 密 钥 , 接 收 方 对 收 到 的 报 
文 认证 码 MAC 解密 ,获得 报 文摘 要 ,与 收 到 报 文 的 摘要 进行 比较 ,进行 完整 性 检测 ,同时 可 
确认 发 送 方 的 身份 。 

(2) 用 非 对 称 密 钥 加 密 。 发 送 方 用 自己 的 私有 密 钥 对 报 文摘 要 加 密 , 接 收 方 从 公开 的 
渠道 获得 发 送 方 的 公开 密 钥 ,对 收 到 的 报 文 认证 码 MAC 解密 ,获得 发 方 的 报 文摘 要 ,与 自 
己 收 到 报 文 的 摘要 进行 比较 ,如 果 二 者 相同 也 就 证 实 了 发 送 者 的 身份 ,如 图 10. 17 所 示 。 

(3) 收发 双方 事先 约定 一 个 秘密 值 。 例 如 图 10. 18 中 SHA-1 缓存 器 的 初始 值 ( 也 称 为 
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初始 矢量 ) ,发 送 方 根据 此 秘密 值 产生 报 文摘 要 ,接收 方 必须 具有 事先 约定 的 相同 的 秘密 值 
才能 得 到 正确 的 报 文摘 要 。 


10.3.3 对 报 文 的 数字 签名 


虽然 报 文 认 证 码 MAC 可 以 提供 对 报 文 的 完整 性 和 身份 认证 ,但 是 它 不 能 取代 发 送 者 
对 报 文 的 数字 签名 。 当 发 送 方向 接收 方 发 送 一 个 文件 时 ,为 了 证 明 此 文件 是 自己 发 送 的 ,而 
不 是 冒名 顶替 者 发 的 ,他 就 在 文件 上 进行 数字 签名 。 

(1) 通常 在 传统 的 纸 质 文件 上 签名 时 ,签名 与 文件 成 为 一 个 整体 ,而 不 是 分 离 的 两 
个 文件 。 但 是 ,对 电子 文件 进行 数字 签名 时 ,电子 文件 和 数字 签名 是 两 个 不 同 的 文件 ; 
报 文 和 签名 。 接 收 方 收 到 这 两 个 文件 后 ,使 用 数字 签名 来 判断 电子 文件 是 否 来 自 真实 
的 发 送 者 。 

(2) 对 传统 的 文件 签名 时 ,一 个 签名 可 以 针对 很 多 不 同 的 文件 。 但 是 ,对 数字 文件 的 签 
名 是 一 对 一 的 ,每 个 报 文 有 一 个 签名 ,同一 签发 者 对 不 同 报 文 的 数字 签名 是 不 同 的 。 另 外 ， 
数字 签名 也 应 当 与 时 间 蕉 (timestamp) 联 系 起 来 ,这 是 为 了 防止 重复 使 用 同一 个 数字 签名 。 
例如 ,小 李 签 发 了 一 个 报 文 给 小 张 ,让 他 付 一 笔 钱 给 小 刘 , 如 果 小 刘 收 到 钱 后 ,又 获得 了 小 李 
的 报 文 和 数字 签名 ,他 就 可 再 次 用 它 向 小 张 要 求 重复 付 一 次 款 。 加 上 时 间 戳 后 ,就 可 防止 同 
一 个 文件 及 签名 的 重复 冒 用 。 

(3) 数字 签名 使 用 一 对 非 对称 密 钥 : 一 个 公开 密 钥 和 一 个 私有 密 钥 。 发 送 方 使 用 自己 
的 私有 密 钥 和 一 个 签名 算法 对 文件 签名 ,任何 人 利用 发 送 方 的 公开 密 钥 和 签名 算法 都 可 以 
验证 此 签名 是 发 送 方 的 。 例 如 ,微软 发 行 的 软件 产品 中 都 有 自己 的 数字 签名 ,供用 户 进行 验 
证 。 数 字 签名 不 能 使 用 对 称 密 钥 。 

(4) 数字 签名 可 以 用 两 种 方式 : 对 整个 报 文 签名 ,或 只 对 报 文摘 要 进行 签名 。 对 整个 
报 文 签名 ,就 是 发 送 方 使 用 自己 的 私有 密 钥 将 整个 报 文 加 密 ,接收 方 使 用 发 送 方 的 公开 密 钥 
进行 解密 ,获得 整个 报 文 ,这 种 签名 运算 量 太 大 。 对 报 文摘 要 签名 ,运算 量 较 小 。 
注意 区 别 : 在 数字 签名 中 ,使 用 的 是 发 送 方 的 私有 密 钥 和 公开 密 钥 ,参看 图 10. 17。 而 
在 非 对称 密 钥 的 保密 通信 中 ,使 用 的 是 接收 方 的 公开 密 钥 和 私有 密 钥 , 参 看 图 10. 12 。 

(5) 数字 签名 可 实现 三 种 服务 : 报 文 的 完整 性 验证 , 报 文 发 送 者 的 身份 认证 ,防止 报 文 
发 送 者 的 拒 认 。 但 是 数字 签名 不 能 提供 对 传输 信息 的 保密 。 如 果 需 要 保密 通信 ,可 以 使 用 
对 称 密 钥 或 非 对 称 密 钥 对 报 文 和 签名 进行 加 密 。 

(6) 数字 签名 的 标准 : 已 经 开发 了 几 种 不 同 的 数字 签名 技术 ,使 用 比较 多 的 是 RSA 和 
DSS(Digital Signature Standard) ,后 者 可 能 将 来 会 成 为 数字 签名 的 技术 标准 。 


10.3.4 网 络 实体 的 身份 认证 


“网 络 实体 ” 指 的 是 网 络 用 户 ,通信 进程 ,客户 机 或 服务 器 。 一 个 需要 表明 自己 身份 的 实 
体 称 为 "申明 人 (claimant)”, 而 需要 对 某 实体 的 身份 进行 核实 的 一 方 称 为 “核验 者 
(verifier)”。 
实体 认证 与 报 文 验 证 的 区 别 有 两 点 : (1) 对 报 文 签发 者 的 验证 不 需要 实时 进行 ,而 对 实 
体 的 身份 认证 需要 实时 处 理 。 例 如 , 当 小 李 发 送 一 个 电子 邮件 报 文 给 小 张 时 ,小 张 对 收 到 的 
邮件 报 文 验证 其 签发 者 身份 的 时 候 , 小 李 可 能 已 经 不 在 通信 的 进程 中 。 而 当 小 李 需 要 与 小 
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张 QQ 聊天 时 ,首先 必须 利用 用 户 名 和 口令 向 对 方 表明 自己 的 身份 (实体 认证 ) ,他 必须 在 线 
等 候 , 直到 小 张 对 他 的 身份 认可 后 , 才 可 进行 双方 的 通信 。 又 如 当 客 户 在 自动 取款 机 取 到 钱 
之 前 ,首先 要 通过 实体 的 身份 认证 。(2) 一 个 报 文 的 验证 码 或 数字 签名 仅 对 该 报 文 有 效 , 对 
下 一 个 报 文 也 要 重复 验证 过 程 , 而 实体 一 旦 通过 认证 后 ,其 认证 结果 在 整个 会 话 过 程 中 都 是 
有 效 的 。 例 如 , 当 通过 用 户 名 和 口令 登录 进入 计算 机 系统 之 后 ,其 余 的 操作 不 再 重复 身份 
验证 。 

一 个 实体 要 证 实 自己 的 身份 ,必须 具有 以 下 3 种 证 物 之 一 : 

(1) 知道 某 些 事物 : 他 必须 知道 某 个 只 有 核验 者 知道 的 事物 ,例如 ,口令 .个 人 身份 证 
号 一 个 秘密 密 钥 或 一 个 私有 密 钥 ; 

(2) 具有 某 些 物件 : 例如 ,个 人 护照 \ 个 人 驾驶 证 \ 信 用 卡 、 智 能 卡 等 ; 

(3) 本 身 具 有 的 某 些 特征 : 例如 ,手写 体 签字 、 指 纹 ,面部 特征 .语音 、 视 网 膜 图 案 等 。 

1. 口令 身份 认证 

口令 是 最 简单 和 最 古老 的 实体 认证 方法 。 当 用 户 需 要 登录 一 个 系统 时 ,就 需要 一 
令 。 可 以 将 口令 分 为 两 类 : 固定 口令 和 一 次 性 口令 。 

(1) 固定 口令 : 它 是 长 期 重复 使 用 的 口令 ,虽然 个 人 便于 记忆 ,但 是 面临 以 下 几 种 
攻击 : 

Q@ 窃听 和 宕 视 : 当 小 李 在 访问 电子 邮件 服务 器 时 键入 并 发 送 自己 的 口令 ,窃听 者 可 以 
捕获 网 络 上 传输 的 登录 数据 ,获取 其 中 的 口令 。 

@ 偷窃 口令 : 如 果 口 令 被 写 在 纸 上 , 偷 窃 者 可 以 用 物理 的 方式 获得 小 李 的 口令 。 因 
此 ,口令 应 当 是 便于 记忆 ,而 不 能 写 在 容易 被 丢失 的 地 方 。 

@ 访问 口令 文件 : 黑客 可 以 进入 小 李 的 计算 机 系统 ,从 系统 的 口令 文件 中 获得 口令 。 
口令 文件 应 当 被 设置 为 管理 员 权 限 的 读 / 写 保护 。 

@ 猜测 : 可 以 通过 猜测 的 方式 寻找 小 李 的 系统 登录 口令 。 例 如 ,小 李 的 生日 ,小 李 的 
幼名 ,汽车 牌号 ,电话 号 码 等 。 也 可 以 用 计算 机 进行 暴力 式 的 口令 破解 , 即 尝试 所 有 的 不 同 
字符 的 组 合 。 

对 固定 口令 的 保护 方法 是 : 口令 应 当 不 短 于 6 位 字符 ,应 当 是 数字 与 大 小 写字 母 的 组 
合 。 用 户 在 向 邮件 服务 器 申请 登录 时 ,不 传输 口令 ,而 是 传输 口令 的 Hash 值 ,服务 器 端 求 
出 保存 的 用 户口 令 的 Hash 值 与 其 核对 (例如 MD5 值 )。 网 络 窃 密 者 捕获 到 网 络 数据 中 口 
令 的 Hash 值 后 不 能 反 向 推测 出 口令 。 这 种 方法 的 缺点 是 不 能 防范 重 放 攻击 (参看 
第 11 章 ) 。 

(2) 一 次 性 口令 : 每 个 口令 只 使 用 一 次 ,不 重复 使 用 .不 必 担 心 被 窃听 或 偷 窍 。 例 如 ， 
小 李 首 先 向 管理 机 构 申 请 到 一 个 一 次 性 口令 ,用 于 与 小 张 通信 的 身份 认证 ,下 次 通信 之 前 须 
再 申请 新 的 口令 。 

2. 挑战 一 应 答 式 身份 认证 

在 互联 网 应 用 中 常用 口令 对 用 户 进行 身份 认证 。 第 2 章 中 介绍 了 PPP 点 对 点 协议 使 
用 的 两 种 身份 认证 技术 ,一 种 是 口令 认证 协议 PAP. 它 通过 网 络 传输 的 口令 容易 被 泄露 , 另 
一 种 方法 是 挑战 -应 答 身 份 认证 协议 CHAP(challenge-response authentication) ,申明 人 通 
过 间接 的 方式 向 核验 者 表明 自己 知道 某 约定 的 秘密 口令 ,而 口令 并 不 通过 网 络 传 输 。 以 下 
是 两 种 常用 的 挑战 值 选择 方法 。 
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(1) 使 用 随机 数 作为 挑战 值 。 参 看 图 10. 20, 当 网 络 客户 小 李 ( 申 明 人 ) 需 要 向 服务 器 


人 有 (核验 者 ) 登 录 时 ,服务 器 向 客户 小 李 发 送 一 
i 开国 个 挑战 值 (Challenge) ,这 是 一 个 一 次 性 使 用 
的 随机 数 Ra。 客户 小 李 利用 事先 约定 的 加 


1 小 李 申请 登录 i 
密 算法 和 秘密 值 Kas 对 挑战 值 进行 加 密 计 

让 2 算 , 将 计算 结果 返回 给 服务 器 ,由 此 证 明 自 
| 应 答 (KAs 加 密 后 的 A) 己 知道 此 秘密 值 KAs 。 服 务 器 收 到 应 答 后 ， 
图 10.20 每 次 登录 使 用 不 同 随机 数 利用 自己 保存 的 秘密 值 Kas 对 返回 的 结果 
的 挑战 一 应 答 身份 认证 进行 解密 而 获得 R's ,如果 此 R's 与 自己 发 


出 的 随机 数 Rs 相同 ,就 证 实 了 客户 的 身份 。 
在 此 过 程 中 ,客户 与 服务 器 必须 持 有 相同 的 对 称 密 钥 Kas ,服务 器 还 要 保留 发 送 的 随机 数 
Ra ,以 便 与 客户 的 应 答 数 值 R's 进行 对 比 ,会 话 结束 后 再 抛弃 此 Re 。 由 于 挑战 值 是 一 次 性 
使 用 的 随机 数 , 每 次 申请 登录 得 到 的 挑战 值 都 不 同 ,因此 可 以 防止 第 三 方 黑客 的 重 放 攻击 ， 
参看 第 2 章 和 第 11 章 的 介绍 。 
互联 网 应 用 中 ,客户 登录 Web 服务 器 的 身份 认证 方法 之 一 是 : 当 Web 服务 器 收 到 客 
户 的 登录 请 求 后 ,产生 一 个 4 位 十 六 进 制 的 随机 数 Rs 并 用 图 片 的 方式 发 送 到 客户 浏览 器 ， 
图 片上 的 4 位 十 六 进 制 数 大 小 不 一 ,而 且 还 要 加 入 黑 点 干扰 图 案 。 客 户 读 出 图 片上 的 数值 
Ra ,与 自己 的 用 户 名 和 口令 一 起 填写 和 人 浏览 器 上 的 表单 ,然后 启用 MD5 计算 器 计算 出 此 三 
个 值 组 合 的 MD5 哈 希 值 , 将 其 发 送 给 服务 器 。 服 务 器 利用 本 机 中 保存 的 用 户 名 、 口 令 和 
Rs 用 同样 的 方法 计算 出 它们 的 MD5 值 ,与 收 到 的 客户 MD5 值 进行 比较 ,实现 身份 验证 。 
此 验证 过 程 的 优点 是 : @ 口 令 明文 没有 在 网 络 上 传输 ,可 防止 口令 在 中 途 泄 密 ,@ 尽 管 每 次 
客户 登录 时 采用 的 用 户 名 和 口令 是 相同 的 ,但 是 服务 器 发 来 的 随机 数 Rs 不 同 ,因此 在 网 络 
上 传输 的 身份 认证 的 MD5 数值 是 不 同 的 ,这 样 可 防止 冒名 顶 蔡 的 重 放 攻击 。 
(2) 使 用 时 间 戳 作为 挑战 值 。 第 二 种 登录 身份 认证 方式 是 使 用 时 间 戳 作为 挑战 值 , 它 
是 随时 间 而 变化 的 。 如 图 10. 21 所 示 ,客户 每 次 登录 时 利用 与 服务 器 事先 约定 的 对 称 密 钥 
KAs 将 用 户 名 和 本 机 的 时 间 值 加 密 ,并 发 送 给 服务 器 。 服 务 器 收 到 后 解密 并 获取 用 户 名 , 完 
成 身份 验证 。 这 种 方案 的 优点 是 : 客户 使 用 不 变 的 用 户 名 与 当前 时 间作 为 挑战 值 , 因 此 每 
次 登录 时 网 络 传输 的 加 密 数 据 都 不 同 ,这 样 可 以 防止 黑客 冒名 顶替 的 重 放 攻 击 。 并 且 在 上 
述 第 一 种 认证 方法 中 的 第 1 和 第 2 步 可 以 省 略 。 缺 点 是 要 求 服务 器 与 客户 机 的 系统 时 间 要 


准确 同步 。 

客户 小 李 服务 器 

持 有 KnBp 持 有 KB 
广 KAe 加 密 的 用 户 名 和 时 间 惟 


图 10.21 使 用 时 间 惟 的 挑战 一 应 答 身 份 认证 


3. 使 用 加 密 的 Hash 值 进行 身份 认证 
在 挑战 一 应 答 身份 认证 中 ,需要 将 整个 认证 参数 加 密 后 在 网 络 上 传输 ,存在 一 定 的 风 
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险 。 另 一 种 方案 是 传输 加 密 后 的 认证 参数 的 Hash 值 。 这 有 两 个 优点 : 首先 ,有 些 加 密 / 解 
密 算法 是 禁止 出 口 到 某 些 外 国 的 ,因此 用 对 称 密 钥 加 密 就 受到 国际 网 络 通信 的 限制 。 第 二 ， 
使 用 加 密 的 Hash 值 ,可 以 保证 挑战 值 和 秘密 值 的 完整 性 ,这 时 不 需要 将 秘密 值 Kas 通 过 网 
络 上 传输 。 

图 10. 22 是 使 用 加 密 Hash 值 进行 身份 认证 的 一 个 例子 。 图 中 ,客户 端 将 时 间 稚 用 
明文 传输 ,同时 传输 的 还 有 “时 间 戳 了 十 秘密 值 Kas” 的 Hash 值 。 当 服务 器 收 到 后 ,使 用 
Hash 算法 从 时 间 蕉 和 服务 器 持 有 的 秘密 值 Kas 中 计算 出 摘要 ,与 收 到 的 Hash 值 进行 比 
较 , 从 而 对 客户 的 身份 进行 认证 。 在 此 过 程 中 ,黑客 不 可 能 从 捕获 网 络 数据 中 的 Hash 值 推 


算出 Kn。 
客户 小 李 服务 器 
持 有 Kns 持 有 Ks 
小 小 地， 时间 蕉 7, Ls* 一 
Hash 报 文摘 要 


图 10. 22 使 用 加 密 Hash 函数 的 挑战 一 应 答 身 份 认 证 


4. 使 用 非 对 称 密 钥 加 密 挑战 值 的 身份 认证 

图 10. 23 是 使 用 非 对 称 密 钥 对 挑战 值 加 密 的 身份 认证 。 第 1 步 : 客户 小 李 持 有 自己 的 
私有 密 钥 ,首先 用 自己 的 用 户 名 向 服务 器 小 张 发 送 登 录 请 求 。 第 2 步 : 服务 器 小 张 利 用 小 
李 的 公开 密 钥 ,对 自己 的 用 户 名 小 张 和 一 个 随机 数 Re 加 密 ,然后 发 送 给 小 李 。 第 3 步 : 小 
李 用 自己 的 私有 密 钥 解密 ,获得 服务 器 名 小 张 和 随 机 数 Ra ,将 Rs 返回 给 服务 器 。 服 务 器 小 
张 对 比 返 回 的 Rs 是 否 正确 ,由 此 确认 客户 小 李 的 身份 。 此 认证 过 程 的 前 提 是 : 小 李 的 非 对 


称 密 钥 是 全 球 唯一 的 。 
客户 小 李 服务 器 小 张 
持 有 自己 持 有 小 李 的 
的 私 钥 公 钥 


[一 一 一 | 登录 用 户 名 : 小 李 


用 小 李 的 公 钥 加 密 : 
(小 张 + 随机 数 Rp) 


小 李 用 私 钥 解 密 后 ， 
返回 Re 给 小 张 


1 
图 10.23 使 用 非 对称 密 钥 对 挑战 值 加 密 的 身份 认证 


10.3.5 对 称 密 钥 系统 的 密 钥 分 配 


对 长 的 报 文 进行 保密 通信 时 ,使 用 对 称 密 钥 通信 比 使 用 非 对 称 密 钥 通信 有 更 高 的 效率 ， 

但 是 它 需 要 通信 的 双方 都 持 有 相同 的 加 密 和 解密 密 钥 ,并 且 还 要 经 常 更 换 。 如 果 小 李 要 与 

NN 个 人 进行 保密 通信 ,他 就 需要 有 N 个 不 同 的 对 称 密 钥 。 如 果 N 个 人 要 与 其 中 任何 人 进 

行 一 对 一 的 保密 通信 ,那么 共 需 要 N(N 一 1)/2 个 密 钥 。 当 人 数 N 很 大 的 时 候 , 密 钥 的 数量 
8 


就 会 很 大 ,并 且 秘密 密 钥 的 分 配 和 传送 也 是 一 个 大 问题 。 因 此 需要 设置 专门 的 机 构 为 用 户 
提供 密 钥 的 分 配 与 管理 。 

1. 对 称 密 钥 分 配 中 心 KDC 

一 种 方法 是 设立 一 个 大 家 都 信任 的 密 钥 分 配 中 心 KDC(Key Distribution Center) ,每 
个 人 都 与 密 钥 分 配 中 心 KDC 建立 一 个 对 称 密 钥 ,如 图 10. 24 所 示 。 小 李 的 密 钥 是 Ki ,小 张 
的 密 钥 是 Kz, 以 此 类 推 。 当 小 李 要 与 小 张 进行 保密 通信 时 , 步 又 如 下 : 


小 李 密 钥 分 配 中 心 KDC 小 张 
一 Kz i 
pe ”i 
小 -如 小 何 


图 10.24 密 钥 分 配 中 心 KDC 


@ 小 李 向 KDC 发 送 一 个 请 求 , 说 明 他 需要 获取 一 个 临时 的 会 话 密 钥 与 小 张 进行 通信 ; 

@ KDC 用 Ki 将 小 李 的 请 求解 密 后 ,再 将 此 请 求 用 Kz 加 密 转发 给 小 张 ; 

@ 如 果 小 张 也 同意 与 小 李 通 信 : 那 么 KDC 就 产生 一 个 Kiz 会 话 密 钥 分 别 加 密 后 发 给 
小 李 和 小 张 

@ 小 李 和 小 张 之 间 利 用 Kiz 进 行 保密 通信 ,通信 结束 后 ,Kz 作废 。 下 次 通信 再 重新 申 
请 会 话 密 钥 。 

在 此 过 程 中 ,Ki 和 Kz 只 是 分 别 用 于 小 李 和 小 张 与 KDC 的 单线 联系 和 认证 ,防止 别人 
的 冒名 项 奉 。 

2. 会 话 密 钥 与 票据 的 概念 

用 户 小 李 与 KDC 的 对 称 密 钥 Ki 仅 用 于 二 者 之 间 的 内 部 加 密 通信 ,此 类 密 钥 的 使 用 期 

相对 较 长 。 小 李 使 用 KDC 提供 的 Kiz 会 话 密 钥 (Session Key) 与 小 张 通信 ,通信 结束 后 此 会 
话 密 钥 作 废 ,会 话 密 钥 是 仅 使 用 一 次 的 对 称 密 钥 。 图 10. 25 是 一 种 产生 与 传递 会 话 密 钥 的 
过 程 ,在 此 过 程 中 还 实现 了 让 小 张 确认 小 李 身份 的 功能 ,前 提 是 KDC 为 大 家 所 信任 。 图 中 
的 锁 表 明 对 框 内 的 数据 内 容 进 行 了 加 密 , 锁 的 名 字 标 明 的 是 使 用 的 密 钥 。 


小 地 密 钥 分 配 
Kbe 
KDC 


1 小 李 ， 小 张 
上 一 
Kz 
[一 2 
Kiz, 了 小 李 ， 小 张 ，Kiz | k, 
3 小 李 ， 小 张 ，Kiz 
和 


图 10. 25 小 李 与 小 张 通过 KDC 得 到 一 个 会 话 密 钥 KLZ 


第 1 步 : 用 户 小 李 用 明文 向 密 钥 分 配 中 心 KDC 申请 一 个 会 话 密 钥 ,希望 用 于 自己 与 小 
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张 的 保密 通信 ,明文 中 包含 已 注册 的 用 户 名 “小 李 , 小 张 ”。 

第 2 步 : KDC 收 到 小 李 的 请 求 后 ,产生 一 个 “票据 (ticket)”, 票 据 是 一 组 临时 组 合 的 数 
据 , 其 中 包含 本 次 会 话 双方 的 用 户 名 小 李 、 小 张 和 会 话 密 钥 Kiz。 将 此 票据 用 小 张 与 KDC 
共享 的 密 钥 Kz 加 密 , 青 与 会 话 密 钥 Kiz 一 起 用 小 李 与 KDC 共享 的 密 钥 Ki 加密, 然后 发 给 
小 李 。 小 李 收 到 后 ,用 Ki 解密 ,获得 会 话 密 钥 Kiz .并 取出 票据 。 因 为 小 李 不 知道 Kz, 所 以 
他 不 可 能 也 不 需要 对 Kz 加 密 的 票据 解密 。 

第 3 步 : 小 李 取 出 收 到 的 Kz 加 密 的 票据 ,并 将 其 直接 转发 给 小 张 。 小 张 用 Kz 解密 获 
得 票据 ,知道 小 李 要 与 他 会 话 ,并 且 会 话 密 钥 是 Kiz。 因 为 Kz 只 有 KDC 与 小 张 知道 ,只 有 
用 Kz 解密 才能 获取 票据 中 的 内 容 , 因 此 小 张 也 间接 地 证 实 了 小 李 的 合法 身份 ,以 及 Kiz 的 
可 靠 性 。 

此 过 程 中 使 用 了 金融 交易 系统 中 常用 的 “票据 单 ” 的 概念 。 

3. Kerberos 认证 服务 系统 与 对 称 密 钥 管理 

在 一 个 有 数 万 用 户 的 开放 式 的 园区 网 中 (例如 大 型 校园 网 ,政府 网 ,企业 网 等 ), 有 大 量 
的 服务 器 和 网 络 计 算 机 分 散 设置 在 各 楼 栋 中 ,任何 人 都 可 以 用 计算 机 接 入 网 络 ,通过 
DHCP 动态 主机 配置 协议 获取 IP 参数 后 访问 园区 网 内 服务 器 的 资源 。 为 了 控制 外 来 用 户 
未 经 许可 地 访问 网 络 资源 ,一 种 方法 是 将 网 络 内 计算 机 的 MAC/IP 地 址 绑 定 ,不 用 DHCP 
服务 器 ,但 是 这 大 大 增加 了 网 络 管理 人 员 的 工作 量 , 又 限制 了 日 益 普 及 的 便携 式 移动 计算 机 
在 园区 网 应 用 。 另 外 ,这 种 方法 不 能 防止 非法 用 户 通 过 操作 网 内 的 合法 计算 机 获取 服务 器 
资源 。 为 了 对 抗 这 样 的 安全 隐患 ,用户 和 服务 器 必须 进行 相互 之 间 的 双向 身份 认证 。 但 是 ， 
如 果 在 一 个 大 型 园区 网 中 ,大量 服务 器 都 要 各 自 承担 对 客户 的 认证 工作 ,那么 这 样 的 工作 负 
担 是 很 大 的 , 它 降 低 了 Web 服务 器 的 工作 效率 。 

现在 广泛 采用 的 是 Kerberos 3A 认证 管理 系统 , 它 将 园区 网 中 所 有 的 客户 /服务 器 双向 
认证 工作 都 交 给 一 个 认证 服务 器 ASCAuthentication Server) 统 一 管理 ,在 它 的 数据 库 中 保 
存 了 所 有 用 户 的 注册 名 和 口令 。 同 时 , 它 分 别 与 每 一 台 服务 器 之 间 共 用 一 个 唯一 的 对 称 密 
钥 。 认 证 服务 器 AS 集中 承担 了 全 网 内 对 客户 的 3A 认证 / 计 费 /授权 工作 ,同时 又 不 妨碍 每 
个 用 户 的 高 速 网 络 接 入 。 

Kerberos 最 初 是 美国 麻 省 理工 学 院 MIT 为 Athena 项 目 开发 的 。 其 中 第 1 至 第 3 版 
为 内 部 开发 版 ,第 4 版 提供 扩散 密码 块 链接 PCBC(Propagating Cipher Block Chaining) 模 
式 。Kerberos 第 5 版 使 用 CBC(Cipher Block Chaining) 模 式 。 本 节 介 绍 使 用 较 广泛 的 版 
本 @。 

Kerberos 是 为 TCP/IP 网 络 系统 设计 的 可 信 的 第 三 方 认证 协议 ,同时 也 是 一 个 密 钥 分 
配 系统 KDC。Kerberos 第 4 版 采用 基于 DES 对 称 加 密 算 法 .但 也 可 以 用 其 他 算法 替代 。 
Kerberos 是 一 个 在 园区 网 中 获得 广泛 应 用 的 认证 协议 , Windows 2000 等 服务 器 系统 都 支 
持 该 协议 。 

Kerberos 的 系统 结构 如 图 10. 26 所 示 : 图 中 有 3 台 服 务 器 : 身份 认证 服务 器 AS 
(Authentication server) ,票据 颁发 服务 器 TGS(Ticket-granting Server ,使 用 端口 号 88) , 数 
据 服务 器 (Web 服务 器 等 ,使 用 端口 号 80)。 此 例 中 ,用 户 小 李 的 目的 是 希望 访问 Web 服务 
器 小 张 ,但 是 必须 先 获得 AS 和 TGS 的 认证 和 会 话 密 钥 。 认 证 过 程 分 为 6 步 ,每 一 步骤 的 
目的 已 标注 在 图 中 。 
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1 申请 一 个 TGS 票据 HS 
2. 小 李 -TGS 会 话 密 钥 | 
和 TGS 的 票据 2 六 | 
3 申请 一 个 小 张 的 票据 票据 颁发 
4 小 李 - 小 张 会 话 密 钥 2 3 服务 器 
和 小 张 的 票据 TGS 
5 请 求 访问 服务 器 小 张 
6 允许 访问 De 服务 器 
© 小 张 


图 10.26 Kerberos 为 用 户 访问 应 用 服务 器 提供 3A 认证 服务 


Kerberos 工作 时 各 方 的 数据 交换 内 容 如 图 10. 27 所 示 。 图 中 的 符号 是 : 


用 户 小 李 认证 服务 器 AS | 。。 | KG : 小 地 的 对 称 密 钥 | 
有 自己 的 口令 有 小 李 的 口令 ， | Krc: 票据 服务 器 的 | 
1 用 户 名 : 小 地 | 
1 
全 二 二 二 二 Ks: 小 李 与 TGS 的 ! 
| 
医 及 多 ! 
IS TGS | | Kz: 小 张 的 对 称 密 角 | 
有 Kro， | 1 Kiz: 小 地 与 小 张 的 | 
a Kr | Kz，KLz 11 会 话 密 钥 
人 1 
Or A 3 Ks 1 出 
Ks Kz 服务 器 
由 [ge Kz 小 李 ,，Kiz 小 张 
Kiz 
. ir Lz 
Le [Ge 6 
时 间 截 T+1 


图 10.27 Kerberos 3A 认证 与 密 钥 管理 中 心 应 用 举例 


(1) Ki 是 用 户 小 李 与 认证 服务 器 AS 之 间 的 对 称 密 钥 。 

(2) Krc 是 认证 服务 器 AS 与 票据 颁发 服务 器 TGS 之 间 的 对 称 密 钥 。 
(3) Ks 是 小 李 与 票据 颁发 服务 器 TGS 之 间 的 会 话 密 钥 。 

(4) Kz 是 数据 服务 器 小 张 与 票据 颁发 服务 器 TGS 之 间 的 对 称 密 钥 。 
(5) Kiwz 是 TGS 提供 的 让 小 李 与 数据 服务 器 小 张 之 间 的 会 话 密 钥 。 


(6) 工 是 小 李 主 机 的 时 间 戳 。 


第 1 步 : 认证 服务 器 AS 是 Kerberos 协议 中 的 KDC ,每 个 用 户 都 在 AS 中 注册 了 一 
用 户 名 和 一 个 对 称 口 令 。 用 户 小 李 用 明文 向 AS 申请 一 个 与 TGS 联系 的 票据 。AS i 
小 李 的 身份 认证 后 ,生成 一 个 小 李 与 TGS 的 会 话 密 钥 Ks ,并 组 成 一 个 给 TGS 的 票据 , 票 


中 包含 用 户 名 小 李 和 Ks。 
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第 2 步 : AS 采用 与 TGS 共享 的 对 称 密 钥 Krc 将 给 TGS 的 票据 加 密 ,然后 加 上 小 李 与 
TGS 的 会 话 密 钥 Ks ,组 成 一 个 报 文 。 再 用 小 李 的 对 称 密 钥 Ki 对 此 报 文 加 密 , 此 时 小 李 并 
不 知道 自己 的 对 称 密 钥 Ki 。 当 小 李 收 到 此 加 密 的 报 文 后 ,他 键入 自己 的 对 称 口令 ,如 果 口 
令 正 确 , 那 么 口令 与 某 一 算法 就 自动 算出 对 称 密 钥 Ki ,口令 就 停止 使 用 。 小 李 的 对 称 口令 
不 在 网 络 上 传输 ,也 不 存放 在 小 李 的 主机 中 , 它 只 是 用 来 产生 小 李 与 AS 的 对 称 密 钥 Ki。 
Ki 也 不 在 网 络 传输 。 然 后 小 李 的 进程 就 用 Ki 对 收 到 的 报 文 解密 ,获得 Ks ,以 及 要 转发 给 
TGS 的 票据 。 小 李 不 知道 Kre ,因此 他 不 可 能 也 不 需要 知道 用 Kr 加 密 的 票据 中 的 内 容 。 

第 3 步 : 此 时 小 李 发 送 3 个 内 容 给 TGS: 从 AS 收 到 的 TGS 票据 ,数据 服务 器 小 张 的 
名 字 , 用 Ks 加 密 的 时 间 戳 。 时 间 戳 用 于 防止 黑客 的 重 放 攻 击 。 

第 4 步 : 票据 颁发 服务 器 TGS 生成 一 个 给 小 李 与 小 张 的 会 话 密 钥 Kiz ,并 向 小 李 返 回 
两 个 票据 。 给 小 李 的 票据 用 Ks 加 密 , 其 中 包含 小 李 与 数据 服务 器 小 张 的 会 话 密 钥 Kiz ,给 
小 张 的 票据 用 小 张 与 TGS 共享 的 对 称 密 钥 Ks 加 密 。 小 李 不 知道 Kz, 因 此 他 不 可 能 也 不 
需要 知道 用 Kz 加 密 的 票据 中 的 内 容 。 

第 5 步 : 小 李 取 出 会 话 密 钥 Kiz ,用 它 将 时 间 截 工 加 密 , 并 与 给 小 张 的 票据 组 合 , 发 给 
服务 器 小 张 。 

第 6 步 : 数据 服务 器 小 张 收 到 小 李 的 报 文 后 ,利用 只 有 自己 和 TGS 知道 的 对 称 密 钥 
Kz 解密 ,获取 会 话 密 钥 Kiz ,然后 用 它 解 密 收 到 的 时 间 戳 。 小 张 在 时 间 戳 上 加 1, 并 将 此 
(T 十 1) 用 KLZ 加密 后 返回 给 小 李 ,允许 他 访问 本 服务 器 。 最 后 客户 小 李 与 数据 服务 器 小 
张 之 间 就 用 Kiz 会 话 密 钥 进 行 加 密 通信 。 

如 果 小 李 还 需要 访问 小 张 以 外 的 其 他 数据 服务 器 ,他 只 需要 重复 上 述 第 3 步 至 第 6 步 
即 可 。Kerberos 允许 用 户 使 用 全 球 分 布 的 相互 注册 的 AS 和 TGS, 用 户 可 以 从 本 地 或 远 地 
的 服务 器 获取 票据 。 例 如 ,小 李 可 以 向 本 地 的 TGS 要 求 颁 发 一 个 远 地 TGS 可 以 接受 的 票 
据 , 然 后 使 用 远 地 TGS 访问 远 地 的 数据 服务 器 。 

Kerberos V4 系统 的 优点 : 

用 户 只 持 有 自己 与 认证 服务 器 AS 之 间 的 对 称 口 令 ,此 口令 不 在 网 络 上 传输 ,无 泄露 口 
令 的 可 能 性 ;实现 了 对 用 户 和 数据 服务 器 双方 的 身份 认证 ,双方 都 不 需要 持 有 较 复杂 的 
CA 数字 证 书 ,使 用 方便 ;为 用 户 与 数据 服务 器 之 间 的 通信 提供 了 会 话 密 钥 ,系统 不 采用 公 
钥 加 密 体制 。 因 此 Kerberos 协议 适用 于 校园 网 等 大 量 用 户 的 统一 的 3A 认证 / 计 费 /授权 
管理 ,减轻 了 应 用 服务 器 对 客户 认证 的 工作 负担 。Kerberos 系统 的 另 一 个 优点 是 : 它 不 需 
要 以 太 网 用 户 增加 额外 的 软件 或 设备 。 例 如 ,第 二 章 介绍 的 PPPoE 协议 需要 以 太 网 用 户 端 
增加 一 个 PPPoE 软件 或 路 由 器 ,通过 它 将 内 部 以 太 网 的 IP 包 取出 ,再 重新 封装 到 与 外 网 点 
对 点 连接 的 PPPoE 帧 中 ,影响 了 用 户 的 网 络 传输 速率 。 

Kerberos 的 有 些 版 本 中 对 一 些 操作 细节 做 了 简化 处 理 。 例 如 , 当 用 户 通过 了 Kerberos 
的 3A 上 网 认证 后 ,用 户 与 应 用 服务 器 之 间 的 通信 仍 用 明文 传输 ,取消 了 KDC 对 称 密 钥 管 
理 和 加 密 通信 功能 ,通过 身份 认证 的 用 户 可 访问 网 络 上 所 有 的 服务 器 群 。 


10.3.6 非 对 称 密 钥 系统 的 公 钥 发 布 方式 


在 基于 互联 网 的 非 对 称 密 钥 加 密 系统 中 ,用 户 将 自己 的 公 钥 公布 于 众 ,让 别人 利用 公 铀 
向 他 发 送 机 密 信息 ,用 户 用 自己 持 有 的 私有 密 钥 解 密 收 到 的 信息 。 用 户 的 公开 密 钥 的 发 布 
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方式 有 如 下 几 种 : 

1. 用 户 发 布 自己 的 公 钥 

小 张 可 以 将 自己 的 公开 密 钥 发 布 在 自己 的 网 站 上 ,或 刊登 在 报纸 上 。 当 小 李 需 要 发 送 
一 个 机 密 信 息 给 小 张 时 ,他 从 小 张 的 网 站 或 报纸 上 下 载 公 钥 ,或 直接 向 小 张 索取 。 这 种 方式 
简单 ,但 是 安全 性 不 高 。 如 果 有 一 个 黑客 冒名 项 替 发 布 了 一 个 “小 张 的 公 钥 ”, 那 么 小 李 就 可 
能 被 骗 。 黑 客 可 以 用 假 的 和 有 密 钥 对 一 个 文件 签名 ,让 大 家 都 认为 该 文件 是 小 张 签 的 名 ,也 
可 以 用 中 间 人 的 方法 将 小 张 发 送 给 小 李 的 公 钥 蔡 换 掉 。 

2. 可 信任 的 公 钥 发 布 中 心 

与 电信 公司 的 114 查 号 服务 台 类 似 ,设立 一 个 公众 都 可 信任 的 公 钥 发 布 中 心 ,每 个 用 户 
都 可 以 将 自己 的 公开 密 钥 放 在 中 心 供 查询 下 载 ,自己 保存 私有 密 钥 。 公 钥 中 心 要 求 对 每 个 
存放 公 钥 的 人 进行 身份 认证 。 如 果 小 李 要 向 小 张 发 送 机 密 信息 ,就 从 公 钥 中 心 获 取 小 张 的 
公开 密 钥 ,用 它 将 信息 加 密 后 发 送 给 小 张 , 小 张 收 到 后 用 自己 的 私有 密 钥 解密 ,获取 小 李 发 
来 的 机 密 信息 。 这 种 方案 有 受 中 间 人 攻击 的 隐患 。 

3. 签名 的 公 钥 发 布 中 心 

为 了 提高 安全 性 ,可 以 对 公 钥 发 布 中 心 提供 的 公 钥 数据 进行 签名 处 理 。 如 图 10. 28 所 
示 , 每 次 向 客户 提供 查询 的 公 钥 时 ,其 中 还 包含 一 个 时 间 戳 ,然后 由 一 个 权威 机 构 对 它 进行 
签名 ,这 样 可 以 防止 中 间 人 对 公 钥 进行 修改 。 如 果 小 李 要 向 公 钥 中 心 索 取 小 张 的 公 钥 ,他 发 
送 一 个 请 求 给 公 钥 中 心 ,其 中 包括 小 张 的 用 户 名 和 一 个 时 间 截 。 公 钥 中 心 提 供给 小 李 的 信 
息 反馈 中 包含 : 小 李 的 请 求 、. 时 间 戳 .小 张 的 公 钥 Kz, 然 后 将 这 3 个 数据 用 中 心 的 私 钥 
Keg 甸 加 密 签名 。 小 李 收 到 后 使 用 众所周知 的 公 钥 中 心 的 公 钥 解密 ,获得 小 张 的 公 钥 Kz， 
并 由 此 验证 了 所 收 到 的 小 张 的 公 钥 确实 是 公 钥 中 心 提供 的 ,而 不 是 伪造 的 。 


公开 发 
用 一 ----A 中 心 全 


公 钥 发 布 中 心 
用 户 公 钥 库 


请 求 小 张 的 公 钥 ， 时 间 戳 
a 《中 心 私 钥 
请 求 小 张 的 公 钥 ， 时 间 惟 ，Kz 


图 10.28 可 信任 的 公 钥 发 布 中 心 对 提供 的 用 户 公 钥 和 时 间 改 进行 签名 


一 般 可 将 常用 的 公 钥 发 布 中 心 的 公 钥 预先 存放 在 IE 浏览 器 中 供 直接 调用 , 见 下 面 的 
介绍 。 

4. 权威 证 书 颁发 机 构 CA 

当 用 户 数 量 很 大 时 ,上 面 几 种 方式 会 导致 公 钥 发 布 中 心 的 工作 负担 很 大 ,一 种 方法 是 采 
用 公 钥 证 书 , 参 看 图 10. 29。 用 户 小 张 有 两 个 目的 : 将 自己 的 公 钥 发 布 于 众 , 并 防止 黑客 伪 
造 他 的 公 钥 。 小 张 前 往 权 威 证 书 颁 发 机 构 CA(Certification Authority) ,该 CA 机 构 将 小 张 
的 公 钥 存储 在 一 个 实体 中 (IC 卡 , 智 能 卡 等 ) ,签发 一 个 公 钥 证 书 给 小 张 。CA 将 自己 的 不 可 
伪造 的 公 钥 发 布 在 自己 的 网 站 上 ,或 预 设 在 大 量 用 户 的 IE 浏览 器 中 。CA 查验 了 小 张 的 身 
份 ID(Identification) ,然后 将 小 张 的 公 钥 记 录 在 证 书 上 ,CA 用 自己 的 私 钥 对 小 张 的 证 书签 
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名 。 小 张 就 可 以 将 此 证 书 放 到 自己 的 网 站 上 公布 并 使 用 自己 的 签名 证 书 了 。 需 要 与 小 张 进 
行 保密 通信 的 任何 人 ,可 以 下 载 小 张 的 签名 证 书 , 并 使 用 CA 的 公 钥 对 证 书 解密 并 核实 , 取 
出 小 张 的 公 钥 并 与 他 进行 加 密 通信 。 在 此 过 程 中 ,可 将 常用 的 CA 的 公 钥 预存 在 用 户 的 IE 


浏览 器 中 。 
1 CA 证 书 中 心 CA 
人 2 中 用 户 公 铀 库 
申请 证 书 有 “| 
| i 
小 李 KL 


区 

W 
i Ni 小 E 
公开 发 布 4 中 心 私 钥 | 各 发 证 书 | 江 | 4 张 | Kz 
一 -===--:]| 证 书 ”上 ~ 一 = 一 = 了 地 | … a 


图 10. 29 公 钥 证 书 发 布 机 构 CA 


5. 公 钥 基础 设施 PKI 

为 了 让 用 户 在 全 球 范 围 获取 和 使 用 公 钥 ,那么 仅 靠 少量 的 相互 独立 的 公 钥 发 布 中 心 是 
不 够 的 。 因 此 将 分 布 在 全 球 的 公 钥 发 布 中 心 的 服务 器 群 以 层次 结构 的 方式 联系 起 来 ,构成 
一 个 公 钥 发 布 基 础 设施 PKI(Public-Key Infrastructure)。PKI 的 三 层 结 构 如 图 10. 30 所 
示 。 将 PKI 系统 划分 为 三 层 结构 的 优点 是 : 管理 层次 分 明 , 便 于 集中 管理 .政策 制订 和 实 
施 ;提高 CA 中 心 的 总 体 性 能 减少 瓶颈 ;有 充分 的 灵活 性 和 可 扩展 性 ,有 利于 保证 CA 中 心 
的 证 书 验证 效率 。 


根 证 书 中 心 CA 
I 


层次 1，CA1 层次 1，CA2 


[层次 2，cAl 层次 2，CA2 | | 层次 2，CA3 | | 层次 2，CA4 | | 层次 2，CA5 | 


图 10. 30 公 钥 基础 设施 PKI 中 证 书 中 心 CA 的 层次 结构 


根 证 书 中 心 CA(Root Certification Authority) 对 层次 1 的 CA 进行 认证 ,层次 1 的 
CA 对 层次 2 的 CA 进行 认证 。 层 次 越 低 的 CA 的 服务 区 域 越 小 。 在 PKI 的 层次 结构 中 , 根 
CA 的 信任 度 最 高 。 人 们 可 以 信任 也 可 以 不 信任 下 层 的 CA。 如 果 小 李 要 获得 并 验证 小 张 
的 证 书 , 他 可 找到 给 小 张 颁发 证 书 的 CA, 但 是 小 李 怀 疑 该 CA 的 可 靠 性 ,他 就 查询 再 上 一 层 
的 CA 对 该 CA 的 认证 ,直到 获得 满意 的 认证 。 

层次 1 的 CA 的 职责 是 : 负责 某 一 领域 或 行业 的 用 户 公 钥 证 书 的 生成 和 发 布 ,例如 电 
子 政务 ,银行 ,警察 等 行业 。 因 为 每 个 证 书 有 严格 的 有 效 期 ,并 且 可 能 因 证 书 的 私 钥 泄 密 等 
原因 而 废止 ,因此 CA 需要 设置 一 个 “证 书 吊销 名 单列 表 CRL” (Certificate Revocation 
List) ,并 及 时 将 已 吊销 和 作废 的 证 书 序列 号 发 布 在 CA 的 URL 地 址 网 站 上 ,供用 户 查询 。 
CRL 的 及 时 更 新 发 布 是 很 重要 的 一 项 业务 。 

层次 2 的 CA 可 以 设置 为 面向 具体 用 户 的 业务 受理 部 门 , 即 注 册 机 构 RA (Registration 
Authority)。 注 册 机 构 RA 无 权 签发 数字 证 书 , 它 是 用 户 ( 个 人 /团体 ) 与 认证 中 心 CA 之 间 
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的 一 个 接口 或 中 介 机 构 。 注 册 机 构 RA 接受 用 户 的 注册 申请 ,获取 并 认证 用 户 的 身份 ,完成 
收集 用 户 信息 和 确认 用 户 身份 的 职能 。 具 体 如 下 : 自身 密 钥 的 管理 ,包括 密 钥 的 更 新 、 保 
存 、 使 用 、 销 毁 等 ;审核 管辖 区 内 用 户 的 信息 ;登记 用 户 的 黑 名单 , 并 公布 CRL 证 书 吊销 列 
表 ; 对 业务 受理 点 进行 全 面 管理 ;接收 并 处 理 来 自 受 理 点 的 各 种 请 求 ,并 向 上 层 CA 转发 。 

在 企业 、 政 府 机 构 或 大 学 的 私有 网 络 内 .也 可 以 设立 自己 的 CA 证 书 颁 发 机 构 ,为 本 系 
统 内 的 用 户 浏 览 器 访问 内 部 的 各 种 Web 服务 器 提供 高 安全 性 的 身份 认证 。 可 将 本 系统 
CA 机 构 的 签名 证 书 预先 存放 在 用 户 浏 览 器 的 “受信 任 的 发 行者 ”的 证 书 栏 中 ,或 固化 在 U 
盘 中 发 给 用 户 , 以 便 自动 验证 服务 器 或 双方 的 身份 。 

6. X.509 公 钥 证 书 

虽然 公 钥 证 书 CA 体系 解决 了 公 钥 的 防伪 问题 ,但 是 对 互联 网 应 用 的 公 钥 证 书 必须 采 
用 世界 统一 的 规范 标准 。 国 际 电信 联盟 ITU 发 布 了 公 钥 证 书 协议 X. 509, 它 已 成 为 互联 网 
的 公 钥 证 书 规范 标准 。X. 509 以 标准 化 的 方式 描述 了 公 钥 证 书 的 内 容 , 证 书 的 表达 采用 
C 程序 员 都 熟悉 的 “摘要 句法 符号 ASN. 1”(Abstract Syntax Notation) 。X. 509 证 书 中 的 
一 些 字段 内 容 如 下 : 

(1) 版 本 号 : 证 书 的 X. 509 版 本 号 ,从 0 开始 ,当前 的 版 本 号 为 3。 

(2) 序列 号 : 证 书 的 序列 号 ,对 于 每 个 证 书 是 唯一 的 。 

(3) 签名 : 它 标识 了 对 该 证 书签 名 的 算法 。 其 中 还 包含 了 用 于 签名 的 所 有 参数 。 

(4) 签发 者 的 名 称 : 标识 了 签发 该 证 书 的 权威 机 构 , 该 名 称 是 层次 结构 的 ,包含 了 国 
家 省 .单位 组 织 、 部 门 等 名 称 。 

(5) 有 效 期 : 定义 了 证 书 有 效 期 的 起 始 和 终止 日 期 。 

(6) 宿主 名 : 定义 了 该 公 钥 的 宿主 名 字 , 该 名 称 也 是 层次 结构 的 。 

(7) 宿主 的 公开 密 钥 : 是 该 证 书 的 核心 部 分 ,包含 了 公 钥 、 算 法 (RSA 等 ) 及 其 参数 。 

(8) 证 书签 发 者 的 唯一 标识 : 该 字段 是 可 选项 , 它 允 许 两 个 签发 者 有 同样 的 签发 者 名 
称 ( 上 面 第 4 项 ) ,此 时 本 字段 内 容 与 (4) 项 内 容 不 同 。 

(9) 宿主 的 唯一 标识 : 该 字段 是 可 选项 , 它 允 许 两 个 不 同 的 宿主 有 同样 的 宿主 名 ,此 时 
本 字段 内 容 与 (6) 项 内 容 不 同 。 

(10) 扩展 部 分 : 允许 签发 者 加 入 更 多 的 私有 信息 在 此 证 书 上 。 

(11) 加 密 部 分 : 包含 加 密 算法 的 标识 ,其 他 字段 的 安全 Hash 值 ( 加 密 的 摘要 ), Hash 
的 数字 签名 。 


10.3.7 CA 数字 证 书 应 用 实例 


1. IE 浏览 器 中 存储 的 CA 证 书 

Windows Internet Explorer 浏览 器 的 “证书 存储 区 ”用 于 保存 常用 的 CA 证 书 , 并 将 这 
些 证 书 分 为 6 类 : (1)“* 个 人 "证书, 存放 本 计算 机 用 户 的 证 书 ; (2 六 其 他 人 ?证 书 , 存 放 与 本 
机 有 相互 认证 关系 的 其 他 人 的 证 书 ;(3)“ 中 级 证 书 颁发 机 构 ” 的 证 书 , 即 层次 1 的 证 书 颁发 
机 构 的 CA 证 书 ; (4)“ 受 信任 的 根 证 书 颁发 机 构 ” 的 证 书 ; (5)“ 受 信任 的 发 行者 ”的 证 书 , 用 
于 存放 本 行业 或 组 织 机 构 的 最 高 级 别 的 证 书 发 行者 的 证 书 ; (6)“ 未 受信 任 的 发 行者 ”的 
证 书 。 

不 同 CA 证 书 的 用 途 有 所 不 同 ,但 总 体 的 应 用 范围 是 : (1) 服 务 器 身份 验证 ,防止 客户 
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访问 到 钓鱼 网 站 ;(2) 客 户 端 身份 验证 ,防止 服务 器 接受 冒名 项 茶 的 客户 ; (3) 文 件 代 码 签 
名 ; (4) 安 全 电子 邮件 的 信息 保密 ; (5) 时 间 惟 验证 ; (6)Microsoft 信任 列表 签名 ; (7)IP 安 
全 终端 系统 ; (8)IP 安全 隧道 终止 ; (9)IP 安全 用 户 ; (10) 加 密 文件 系统 ;(11) Windows 硬 
件 驱 动 程序 验证 ; (12) Windows 系统 组 件 验证 ; (13)OEM Windows 系统 组 件 验 证 ; 
(14) 内 嵌 Windows 系统 组 件 验 证 ; (15) 密 钥 包 许可 证 ; (16) 许 可 证 服务 器 确认 ; (17) 智 能 
卡 登 录 ; (18) 数 字 版 权 确 认 ; (19) 合 格 的 部 属 ;(20) 密 钥 恢 复 ; (21) 文 档 签名 ; (22)IP 安 
全 IKE 中 级 认证 ; (23) 文 件 故 障 恢复 ; (24) 根 列表 签名 者 ; (25) 所 有 应 用 程序 策略 ; 
(26) 目 录 服 务 电子 邮件 复制 ; (27) 证 书 申请 代理 ; (28) 密 钥 恢 复 代 理 ; (29)CA 加 密 证 书 ; 
(30) 生 存 时 间 签 名 。 

IE 浏览 器 中 预存 了 常用 的 “中 级 证 书 颁发 机 构 ”" 和 “受信 任 的 根 证 书 颁 发 机 构 ” 的 
CA 证 书 , 供 用 户 验 证 所 收 到 的 由 这 些 机 构 颁 发 的 证 书 的 真 伪 。 除 此 之 外 ,用 户 还 可 以 将 自 
己 所 属 的 网 络 应 用 系统 中 需要 的 证 书 导入 ,选择 存放 到 IE 浏览 器 的 证 书 栏 的 相应 类 别 。 例 
如 ,可 将 上 级 银行 系统 或 电子 政务 CA 机 构 的 证 书 存放 到 * 受 信任 的 发 行者 ” 栏 ,而 将 自己 获 
得 的 证 书 存放 到 “个 人 证 书 ” 栏 ,每 次 用 户 访问 服务 器 时 甚至 不 需要 输入 口令 ,服务 器 能 自动 
检测 用 户 的 ID 身份 。 

查看 IE 浏览 器 中 证 书 的 步骤 : 打开 IE 浏览 器 , 单 击 " 工 具 ” 一 “Internet 选项 ”一 “内 
容 ” 一 “证 书 ”->* 中 级 证 书 颁发 机 构 ”, 如 图 10. 31 所 示 。 


预期 目的 8); 人 有 >》 图 
[个 人 [其 地 人 ] 中 领证 书 颁 发 机 构 [受信 任 的 根 证 书 需 发 机 构 [ 受 信任 的 发 行者 | 国 较 


颁发 给 颁发 者 截止 B 期 | 圈 
国 weroso ft Certificate Trust Lis... Microsoft Root C... 2019-4-3 


soft Internet Authority GTE CyberTrust 6... 2011-2-20 
Soft Secure Server Authority Microsoft Intern .， 2011-2-20 

soft Windows Hardrare Conp... Microsoft Root A.. 2002-1 ™ 
Windows Hardrare Conp 


2010-1-1 

2040-1-1 

monn 。 国 | 
| 


soft 
SGC Authority 
Agency 


图 10.31 正 浏览 器 中 预存 的 CA 证 书 颁发 机 构 的 证 书 


以 正 浏览 器 中 微软 证 书 颁发 机 构 的 证 书 为 例 , 它 用 于 验证 微软 颁发 给 硬件 设备 制造 商 的 
CA 证 书 的 真 伪 。 制 造 商 生 产 的 硬件 设备 必须 通过 微软 的 兼容 性 验证 并 获取 了 证 书 , 才 能 与 微 
软 Windows 系统 兼容 。 此 类 证 书 的 发 行者 是 Microsoft Root Authority( 微 软 根 证书 颁 发 机 
构 )。 图 中 的 证 书 用 于 验证 颁发 给 兼容 硬件 产品 的 CA 证 书 (Microsoft Windows Hardware 
Compatibility) ,截止 期 为 2002 年 12 月 31 日 。 单 击 “ 导 出 ”后 ,选择 “导出 文件 格式 ”为 “DER 编 
码 二 进 制 X. 509”, 选 择 导出 文件 名 和 存储 位 置 , 获 得 该 证 书 的 详细 信息 如 下 : 

(1) 版 本 : V3; 

(2) 序列 号 : 19 8b 11 dl 3f 9a 8f fe 69 a0; 

(3) 签名 算法 : MD5 RSA; 
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(4) 颁发 者 : Microsoft Root Authority， Microsoft Corporation, Copyright 1997; 

(5) 有 效 起 始 日 期 : 1997 年 10 月 1 日 星期 三 15:00:00; 

(6) 有 效 终止 日 期 : 2002 年 12 月 31 日 星期 二 15:00:00; 

(7) 主题 : Microsoft Windows Hardware Compatibility Intermediate CA; 

(8) 公 钥 : RSA(1024 Bits)30 81 89 02 81 81 00 e0 4e 10 0e b8 a7 ef 21 ca 60 5a dc 9f 
le3e83775a292ef94ee5085ddeelcf09co 1f 44 b7 07 a8 4b a4 22 30 3b 19 06 83 ee 
{3 ac 27 78 ae ca d6 40 2b ce 79 01 el 9d 56 8b 36 72 bl 63 90 5f a0 b2 c0 66 a6 49 c5 3c fa 
26 a2 62 c3 d3 b5 cc 61 15 4cf2 3f b4 e7 45 08 43 89 7f 6a 8d d5 66 fb d7 ff 64 00 c4 11 fd 
2c a3 0b 75 bo fb e5 ac 26 65 a3 81 e6 66 49 3d 1d 73 7a 9b 71 d7 02 03 01 00 01; 

(9) 增强 型 密 钥 用 法 : 代码 签名 (1. 3. 6. 1. 5. 5. 7. 3. 3), Windows 硬件 驱动 程序 验证 
《1 0 

(10) 颁发 机 构 密 钥 标 识 符 : KeyID=5b d0 70 ef 69 72 9e 23 51 7e 14 b2 4d 8e ff cb 
签发 者 : Microsoft Root Authority,Copyright (c) 1997 Microsoft Corp. 

Certificate Serial Number = 00 cl 00 8b 3c 3c 88 11dl3ef663ecdf40 

(11) 基本 限制 : Subjiect Type 二 CA; 

(12) 摘要 算法 : SHA-1; 

(13) 摘要 : 10 9f lc ae d6 45 bb 78 b3 ea 2b 94 


c0 69 7c 74 07 33 03 le。 二 让 Internet 资源 的 名 
2. Windows 操作 系统 文件 的 签名 验证 i 画 
为 了 验证 一 台 计 算 机 Windows 操作 系统 中 的 各 

种 文件 是 否 获得 了 微软 的 签名 验证 ,查验 是 否 为 盗版 

软件 系统 ,以 及 验证 系统 文件 是 否 被 木马 自 改 ,我 们 ”图 10.32 对 计算 机 Windows 系统 

可 以 通过 “文件 签名 验证 "来 进行 检测 。 操 作 过 程 是 : 中 已 安装 的 文件 进行 

Windows 桌面 的 “开始 ”选择 按钮 ,打开 “运行 "对话 sigverif 签名 验证 


框 ,输入 “sigverif”, 如 图 10. 32 所 示 。 运 行 数 分 钟 后 可 检测 出 操作 系统 中 未 经 过 微软 数字 
签名 的 文件 清单 ,如 图 10. 33 所 示 。 


名 验证 结果 


| 在 文件 夹 中 | 修改 时 间 | : 国 
:Mwindows\systen32 2008-4-22 1 
:Mwindows\systen32 2008-4-22 1 
:Mwindows\systen32 2008-5-6 1 
:windows\systen32\drivers 2008-6-18 
:Nwindows\systen32\spool\drivers\w32. 2008-2-1 已 


:Mwindows\systen32\spool\drivers\w32. 200-4-16 晶 
:Mwindows\systen32\spool\drivers\w32... 2007-11-26 
ci\windows\systen32\spool\drivers\x32... 2007-11-26 


发 现 的 文件 : 2674。 已 3 文件 - 件 : 815。 .; 
图 10.33 查验 本 机 操作 系统 中 未 经 过 数字 签名 的 文件 
3。 根 证 书 颁发 机 构 的 CA 证 书 与 CRL 列表 发 布 


在 IE 浏览 器 的 证 书 存储 区 中 提供 了 部 分 根 证 书 颁发 机 构 的 证 书 ,它们 的 用 途 为 : 
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(1) 保 护 电 子 邮件 的 信息 安全 ; (2) 对 客户 端 进行 身份 验证 : (3) 对 Web 服务 器 进行 身份 验 
证 ,防止 钓鱼 网 站 ; (4) 对 文件 代码 进行 签名 ; (5) 验 证 软件 的 开发 商 ,以 及 该 软件 在 发 行 后 
是 否 受 到 算 改 。 根 证 书 颁发 机 构 的 CA 证 书 主要 内 容 与 上 述 中 级 证 书 颁发 机 构 的 CA 证 书 
内 容 相同 ,但 是 增加 了 一 些 选项 内 容 , 包 括 发 布 证 书 吊销 列表 CRL 的 网 站 地 址 , 私 钥 使 用 周 
期 , 密 钥 用 法 等 。 

根 证书 颁 发 机 构 除 了 为 用 户 颁 发 CA 证 书 外 ,还 负责 定期 公布 由 它 颁 发 过 的 CA 证 书 
的 吊销 列表 CRL (Certificate Revocation List)。 例 如 , 根 证 书 颁 发 者 GTE Cyber Trust 
Global Root 在 其 网 站 上 公布 的 证 书 帅 销 列表 CRL 如 图 10. 34 所 示 。 在 CRL 证 书 吊销 列 
表 中 列 出 了 该 证 书 颁发 机 构 颁 发 的 已 作废 的 CA 证 书 的 序列 号 和 吊销 日 期 , 供 客户 进行 证 
书 的 有 效 性 查询 。 


证 书 吊销 列表 (? (x 
常规 。 |[ 吊 勿 列表 委 规 局 铺 列表 | 
图 证 书 吊销 列表 信息 吊销 的 证 书 
序列 号 吊销 日 期 | 图 | 
THI 加 | 
域 | 什 | 27 163 2 有 有 时 
7 一 . 
EE 3 呆 如 井 多 2008 年 2 月 20 卓 星 中 
07 27 16 9d 2008 年 5 月 14 日 星期 图 | 
生效 日 期 2010 年 10 月 7 日 星期 四 0:49:06 = Sn nay 
国 下 一 次 的 更 新 ”2011 年 2 月 2 日 星期 三 0:54:08 吊销 项 
域 


图 10. 34 ”证 书 颁发 机 构 发 布 的 CRL 证 书 吊销 列表 


在 新 的 浏览 器 中 (例如 Google Chrome, Firefox, Opera, 以 及 Windows Vista 的 I 浏 
览 器 等 ) 可 实施 OCSP(Online Certificate Status Protocol) 在 线 证 书 查 验 协 议 , 浏 览 器 可 执 
行 OCSP 协议 将 待 查 验 的 证 书 的 序列 号 发 送 给 CA 发 证 机 构 ,自动 从 CRL 列表 中 验证 其 合 
法 性 。 

4. 数字 证 书 在 网 络 电子 银行 中 的 应 用 

网 络 电子 银行 的 基础 设施 就 是 CA 数字 证 书 , 利 用 证 书 实现 对 客户 /服务 器 的 双向 身份 
认证 ,以 及 提供 对 网 络 传输 信息 的 加 密 保障 。 网 络 电子 银行 的 业务 可 分 为 个 人 网 上 银行 , 企 
业 网 上 银行 .手机 银行 .电话 银行 等 类 型 。 以 个 人 网 上 银行 为 例 , 通 过 互联 网 可 为 银行 个 人 
客户 提供 账户 查询 .转账 汇款 、 投 资 理 财 、 在 线 支 付 等 金融 服务 。 能 够 满足 不 同 层次 客户 的 
各 种 金融 服务 需求 ,并 可 提供 很 高 的 信息 安全 保障 。 

网 络 银行 客户 的 数字 证 书 向 银行 总 部 的 CA 申请 签发 。 数 字 证 书 的 载体 可 以 是 : U 盾 
驱动 程序 ,客户 端 功能 软件 ,USB Key 客户 证 书 驱 动 程序 ,IC 卡 客户 证 书 驱动 程序 等 。 关 于 
数字 证 书 在 网 络 电子 银行 应 用 中 的 技术 问题 ,参看 第 11 章 的 SSL/TLS 安全 套 接 层 协 议 ， 
以 及 安全 电子 商务 SET 的 详细 介绍 。 

5. 设置 Windows IE 浏览 器 中 的 安全 选项 

在 Windows IE 浏览 器 中 给 用 户 提供 了 一 些 常 用 的 安全 选项 供用 户 选 择 。 打 开 IE 浏 
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览 器 的 “工具 ”一 Internet 选项 ”一 “高 级 ”一 “ 安 
宙 员 [安全 | 陪 和 [内 容 | 过 接 | 各 所 | 全 "选项 ,如 图 10. 35 所 示 。 其 中 的 部 分 安全 选 
ee 项 如 下 : 
本 (1) 对 证 书 地 址 不 匹配 发 出 警告 : 查验 浏览 
器 收 到 的 服务 器 的 数字 证 书 的 地 址 。 
(2) 仿冒 网 站 筛选 器 : 利用 浏览 器 中 预存 的 
CA 证 书 颁 发 机 构 的 公 钥 ,验证 收 到 的 Web 网 站 


器 

目 检查 服务 器 证 书 吊销 + 和 

加 相生 p20 者 证 书 的 真 伪 。 

| 同 启用 本 机 XWIHTTP 十 持 | 加 | i Se A 

em (3) 关闭 浏览 器 时 清空 Internet 临时 文件 
SE 夹 : 消除 浏览 器 收 到 的 Cookie 等 可 能 带 来 的 安 


图 10.35 Windows IE 中 的 安全 选项 全 隐患 。 
(4) 检查 发 行商 的 证 书 是 否 吊销 : 检查 服务 

器 证 书 的 发 行商 的 证 书 是 否 在 根 证 书 颁 发 机 构 CA 公布 的 CRL 表 中 。 

(5) 检测 服务 器 证 书 吊销 : 从 服务 器 证 书 的 颁发 机 构 发 布 的 CRL 列表 中 查看 该 证 书 是 
和 否 已 被 注销 。 

(6) 检测 下 载 的 程序 的 签名 : 利用 签名 者 的 公 钥 验证 下 载 程 序 中 的 签名 的 真 伪 。 

(7) 将 提交 的 POST 重 定向 到 不 允许 发 送 的 区 域 时 发 出 警告 : 正常 情况 下 ,浏览 器 利 
用 HTTP 协议 的 POST 命令 将 用 户 名 和 口令 等 信息 发 给 服务 器 ,进行 客户 的 身份 验证 ( 参 
看 表 6.2)。 若 发 现 POST 数据 包 被 诱导 发 给 第 三 者 时 ,进行 报警 。 

(8) 使 用 SSL3.0 和 使 用 TLS1. 0。 关 于 安全 套 接 层 协议 和 HTTPS 协议 的 应 用 参看 
第 11 章 的 介绍 。 


10.4 本 童 要 点 


(1) 信息 安全 技术 可 以 提供 5 类 服务 : 四 报 文 加 密 : 用 于 发 送 方 与 接收 方 之 间 对 通信 
内 容 的 保密 。@ 报 文 的 完整 性 : 接收 方 收 到 的 报 文 必须 与 发 送 方 发 出 的 报 文 完全 相同 , 验 
证 其 是 否 被 算 改 。@ 报 文 的 验证 : 接收 方 收 到 的 报 文 必须 是 来 自 所 希望 的 发 送 方 ,而 不 是 
来 自 冒名 顶替 者 。@ 防 拒 认 : 发 送 方 不 能 否认 和 抵赖 自己 已 经 发 送 的 报 文 及 其 内 容 。@ 实 
体 的 身份 认证 : 对 访问 系统 资源 的 实体 (人 设备、 软件 或 硬件 ) 的 身份 进行 认证 。 其 中 前 4 
类 涉及 通信 双方 的 报 文 交换 ,第 5 类 涉及 实体 访问 系统 资源 时 的 认证 。 

(2) 报 文摘 要 : 用 于 验证 一 个 文件 或 报 文 的 内 容 的 完整 性 ,可 用 Hash 算法 从 一 个 报 文 
中 计算 产生 固定 长 度 的 摘要 。Hash 算法 必须 满足 3 个 条 件 : 单 向 性 , 弱 冲突 的 抵抗 性 , 强 
冲突 的 抵抗 性 。 

(3) 未 加 密 的 报 文摘 要 可 用 于 报 文 修改 检测 码 , 它 保证 报 文 的 完整 性 。 要 验证 报 文 的 
完整 性 和 签发 者 的 身份 ,可 用 报 文 验证 码 。 它 是 用 签发 者 的 私 钥 或 对 称 密 钥 对 文件 的 Hash 
值 加 密 后 的 值 , 只 有 用 签发 者 的 公 钥 或 对 称 密 钥 才能 成 功 解密 ,获得 报 文 的 Hash 值 。 

(4) 数字 签名 用 于 证 实数 字 文件 的 签发 者 身份 。 数 字 签 名 的 功能 包括 报 文 的 完整 性 验 
证 、 签 发 者 身份 认证 和 防 拒 认 。 数 字 签名 不 提供 报 文 内 容 的 保密 。 数 字 签 名 需要 一 个 非 对 
称 密 钥 系统 的 支持 。 
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(5) 实体 认证 : 用 于 用 户 登 录 系 统 时 的 身份 验证 。 申 明 者 可 使 用 3 种 方法 向 核验 者 证 
明 自 己 的 身份 : 知道 某 秘密 (如 口令 等 ) , 持 有 某 事物 ,自身 具有 某 些 固有 特性 。 基 于 口令 的 
实体 身份 认证 可 分 为 两 类 : 固定 口令 和 一 次 性 口令 。 

(6) 挑战 一 应 答 式 身 份 认证 : 核验 者 向 申明 者 发 出 一 个 挑战 值 ,声明 者 将 挑战 值 与 自 
己 的 口令 混合 运算 后 将 结果 发 给 核验 者 ,而 不 用 传输 口令 。 保 护 了 口令 的 安全 。 

(7) 密 钥 发 布 中 心 (KDC) 是 向 保密 通信 双方 提供 对 称 密 钥 的 可 信任 的 第 3 方 。KDC 
与 每 个 用 户 之 间 有 一 个 专用 的 秘密 密 钥 ,两 个 用 户 之 间 的 一 次 性 会 话 密 钥 必 须 由 KDC 
提供 。 

(8) Kerberos 是 给 用 户 访 问 网 络 资源 时 提供 3A 服务 和 会 话 密 钥 的 协议 , 它 由 一 个 身 
份 认 证 服务 器 和 一 个 票据 颁发 服务 器 组 成 。 

(9) 公 钥 基础 设施 PKI 是 一 个 层次 结构 的 系统 , 它 向 保密 通信 的 发 送 方 提供 接收 方 的 
公开 密 钥 和 密 钥 证 书 查 询 服 务 。 

(10) 证 书签 发 中 心 是 向 用 户 提供 数字 证 书 的 机 构 , 证 书 中 绑 定 了 该 用 户 的 公开 密 钥 。 
CA 系统 分 为 3 个 等 级 : 根 证 书 颁 发 中 心 ,中 级 证 书 颁发 中 心 ,层次 2 的 证 书 代理 机 构 。 

(11) X. 509 数字 证 书 广泛 用 于 电子 商务 .网络 银行 .网络 办 公 系 统 中 的 身份 认证 。 


习题 与 实践 
1. 在 对 称 密 钥 密 码 学 中 ,双方 如 何 建立 一 个 密 钥 ? 
2. 在 非 对 称 密 钥 密码 学 中 ,双方 如 何 建立 一 对 密 钥 ? 


3. 使 用 凯撒 密码 (Caser Cipher) 加 密 明 文 “THIS IS AN EXERCISE” ,key 二 20, 不 计 空 


4. 若 符号 是 0 和 1, 可 以 使 用 单字 母 蔡 换算 法 吗 ?” 还 是 使 用 多 字母 换算 法 ? 
5. 使 用 换 位 密码 (Transposition Cipher) 加 密 明文 “TNTERNET”,key 如 下 所 示 
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6. 是 分 组 加 密 算法 。 
a. P- 盒 b. S- 盒 c. 乘积 分 组 d. 所 有 上 述 选 项 


7. 流 密码 与 分 组 密码 的 区 别 是 什么 ? 各 有 何 优 缺点 ? 

8. 比较 DES IDEA 和 AES 三 种 加 密 算法 的 区 别 。 

9. 简 述 RSA 和 DES 算法 保护 的 机 密 性 .完整 性 和 抗拒 认 原 理 。 

10. 在 RSA 中 给 出 素数 p= 二 19 和 g 二 23, 找 出 N 和 更 ,其 中 瑟 三 (一 1)X(q 一 1) ,选择 
e 二 5, 请 找 出 合适 的 d 值 。 

11. 为 理解 RSA 算法 的 安全 性 ,假设 已 知 e 二 17, N= 二 187, 试 找 出 & 值 ,本 题 证 明 若 
NN 取 值 过 小 的 话 ,密码 窃听 者 Eve 将 很 容易 破解 密 文 。 进 一 步 考虑 , 若 N 取 值 较 大 ,为 何 接 
收 者 Bob 能 计算 出 & ,而 Eve 却 不 能 。 

12. 在 RSA 中 给 定 e=13.d==37, N= 二 77, 用 0 一 25 代表 字母 A 一 Z, 对 明文 “FINE? 加 
密 。 为 了 简便 起 见 , 加 密 和 解密 要 逐个 字母 进行 。 

13. 在 RSA 中 ,为 何 接收 者 Bob 不 能 选择 e 一 1 作为 公 钥 ? e 一 2 可 以 吗 ? 

.345 。 


14. 在 使 用 RSA 的 公 钥 中 若 截取 了 发 送 给 其 他 用 户 的 密 文 C 二 10, 若 此 用 户 的 e 二 5， 
NN 二 35 ,请 问 明文 内 容 是 什么 ? 

15. 密码 窃听 者 Eve 使 用 RSA 算法 发 送 消息 给 接收 者 Bob ,使 用 了 Bob 的 公 钥 。 之 
后 ,在 酒会 上 ,Eve 询问 Bob 是 否 接 收 到 了 他 发 送 的 消息 ,Bob 确认 收 到 。 又 过 了 一 段 时 间 ， 
Eve 问 Bob:“( 我 发 送 给 你 的 ) 密 文 是 什么 ?”Bob 把 密 文 值 告 诉 了 Eve, 这 对 Bob 私 钥 的 安 
全 性 有 威胁 吗 ? 为 什么 ? 

16. Kerberos 认证 服务 器 和 票据 颁发 服务 器 的 作用 各 是 什么 ? 

17. X. 509 的 作用 是 什么 ? 分 析 IE 浏览 器 中 预存 的 各 种 不 同类 型 的 数字 证 书 的 详细 
内 容 , 有 哪些 可 选项 ? 从 根 CA 证 书 中 提供 的 网 站 上 查看 CRL 证 书 吊 销 列表 的 构成 。 写 出 
实验 分 析 报 告 。 

18. 简 述 在 Kerberos 登录 机 制 中 交互 登录 的 过 程 ( 假 设 域 中 有 账号 的 情况 )。 

19. 对 于 防止 未 授权 用 户 使 用 网 络 资源 ,要 求 用 户 注册 他 们 计算 机 的 MAC 地 址 ,是 一 
个 好 策略 吗 ? 如 果 一 个 人 侵 者 事实 上 访问 了 网 络 ,网 络 管理 者 怎样 确定 有 效 的 MAC 地 址 ? 
使 用 别人 的 MAC 地 址 会 出 现 问题 吗 ? 

20. 从 互联 网 上 搜索 下 载 一 个 MD5 计算 器 ,用 它 计 算 一 个 软件 的 报 文摘 要 ,然后 与 该 
软件 开发 者 提供 的 报 文摘 要 进行 比较 ,鉴别 其 真 伪 。 

21. 在 互联 网 上 搜索 下 载 并 安装 Hash Tab setup. exe 免费 软件 ,按照 图 10. 19 
Windows XP 的 文件 属性 中 提供 的 完整 性 校 验 方法 ,验证 网 络 上 下 载 的 一 些 文件 的 完整 性 。 
分 析 比 较 SHA-1、MD5 和 CRC-32 这 三 种 校 验 方法 的 优点 、 缺 点 及 其 应 用 领域 。 
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第 11 章 互联 网 安全 协议 与 电子 商务 应 用 


1. 网 络 攻击 分 为 被 动 攻击 和 主动 攻击 两 类 

来 自 互 联网 的 信息 安全 攻击 可 以 分 为 两 类 : 被 动 攻击 和 主动 攻击 。 被 动 攻击 只 窃取 和 
接收 分 析 互 联网 上 传输 的 信息 ,而 对 互联 网 用 户 之 间 的 通信 不 产生 干扰 ,是 隐藏 的 攻击 ,不 
易 被 发 觉 。 主 动 攻击 则 试图 改变 网 络 上 传输 的 信息 ,或 者 影响 和 破坏 网 络 用 户 的 正常 工作 。 

被 动 攻击 的 形式 包括 两 类 : 对 网 络 传输 信息 的 窃听 分 析 , 以 及 监测 分 析 网 络 用 户 的 流量 
和 活动 频 度 。 网 络 信息 的 窃听 和 泄漏 包括 网 络 电话 交谈 .电子 邮件 报 文 ` 机 密 文 件 的 传输 等 ， 
如 图 11. 1(a) 所 示 。 如 果 攻 击 者 能 够 窃 获 网 络 传输 的 加 密 数据 ,但 是 无 法 破解 其 中 的 内 容 , 那 
么 他 可 以 通过 对 网 络 用 户 的 流量 监测 和 活动 频 度 分 析 来 获取 一 些 间接 的 信息 ,例如 ,用 户 密 文 
的 模式 、 网 络 主机 的 位 置 、 加 密 报 文 的 长 度 等 。 通 过 对 这 些 信息 的 分 析 可 以 猜测 网 络 用 户 的 行 
动 ,如 图 11.1(b) 所 示 。 被 动 攻击 很 难 被 探测 到 ,因为 窃听 者 不 改变 或 干扰 传输 的 信息 ,发 送 方 
和 接收 方 的 网 络 通信 处 于 正常 状态 ,他 们 不 会 意识 到 还 有 第 三 方 在 接收 和 分 析 他 们 传输 的 数 
据 。 被 动 攻击 的 特点 在 于 其 隐蔽 性 ,防护 重点 在 于 加 强 对 传输 信息 的 加 密 保护 。 


窃听 者 获取 小 地 窃听 者 分 析 小 李 
发 给 小 张 的 信息 与 小 张 的 通信 
小 李 小 张 小 李 小 张 


(a) 窃听 网 络 用 户 的 信息 (b) 分 析 网 络 用 户 的 流量 和 频 度 
图 11.1 网 络 的 被 动 攻击 分 为 两 类 


主动 攻击 可 以 分 为 4 类 : 冒名 顶替 、 重 放 攻 击 、 算 改 信息 、 拒 绝 服务 攻击 ,如 图 11. 2 所 
示 。 当 黑客 通过 某 种 方式 (如 网 络 数据 捕获 等 ) 获 取 了 合法 用 户 的 用 户 名 和 口令 后 ,就 冒名 
顶 蔡 合法 用 户 小 李 与 小 张 通信 ,或 登录 小 李 的 银行 账户 进行 犯罪 活动 ;在 重 放 攻 击 中 , 当 用 
户 小 李 向 小 张 登录 时 ,黑客 隐蔽 地 记录 下 登录 过 程 的 数据 ,不 需 破 解 其 中 内 容 , 等 他 们 通信 
完 后 , 重 放 登录 过 程 数据 向 小 张 (或 服务 器 ) 登 录 。 在 中 间 人 算 改 信息 的 方式 中 ,黑客 采用 如 
第 3 章 介绍 的 ARP 诱骗 等 手段 插入 在 通信 双方 的 连接 之 间 .截获 了 小 李 发 给 小 张 的 信息 ， 
将 其 中 的 内 容 算 改 后 再 发 给 小 张 ,例如 ,可 将 电子 商务 报 文中 银行 转账 的 数额 和 账号 算 改 掉 
等 ;拒绝 服务 攻击 是 向 某 特定 的 目标 服务 器 (如 Web 服务 器 或 安全 审计 服务 器 等 ) 同 时 发 送 
大 量 的 访问 数据 , 耗 尽 服务 器 内 存 资源 或 阻塞 网 络 通道 ,从 而 降低 服务 器 或 网 络 的 性 能 , 直 
至 使 其 瘫痪 ,不 能 提供 正常 的 服务 。 这 些 Web 攻击 的 特点 与 对 抗 措施 归纳 如 表 11. 1 所 示 。 

2. 常用 的 Web 安全 协议 简介 

为 了 对 抗 来 自 网 络 的 各 种 信息 安全 攻击 行为 ,在 TCP/IP 协议 族 的 不 同 层 增加 了 一 些 
安全 协议 ,这 些 协 议 综合 利用 了 第 10 章 介绍 的 各 种 信息 安全 基础 技术 , 先 简要 介绍 如 下 , 参 
看 图 11. 3 和 表 11. 1 。 
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3 黑客 冒充 小 李 记录 小 李 与 小 张 的 
发 信息 给 小 张 登录 过 程 ， 随 后 重 
CE 请 
y 
SS Qe 
小 李 小 张 
(a) 冒名 顶 蔡 
截获 并 得 改 小 李 
发 给 小 张 的 信息 
小 地 小 号 
(Q) 中 间 人 得 改 传输 的 信息 (d) 拒绝 服务 攻击 


图 11.2 网 络 的 主动 攻击 分 为 4 类 


表 11.1 Web 威胁 的 种 类 与 比较 


威胁 类 型 安全 威胁 危害 对 抗 措施 
sc 全 镶 中 瑟 天 矶 商定 re 
信息 的 完整 性 破坏 计算 机 le 
修改 内 存 信 息 麻尾 Web 成 腑 的 防御 能 力 | 采用 可 信任 系统 
算 改 传输 中 的 信息 . 报 文摘 要 验证 
网 络 窃听 
从 服务 器 窃取 信息 Wn 
隐私 和 保密 | 从 客户 机 窃取 信息 ee 
窃取 网 络 配置 信息 
监测 客户 机 /服务 器 的 活动 
阻 断 用 户 / 服 务 器 之 问 联系 
潜 式 的 访问 耗 尽 
二 二 人 人 中 断 和 阻塞 服务 器 的 运行 | 对抗 SYN 泛 洪 攻击 技 
加 占 满 磁盘 或 内 存 使 用 户 不 能 正常 工作 术 , 参 看 第 5 章 
通过 攻击 DNS 隔离 服务 器 
ee 伪装 合法 用 户 对 合法 用 户 的 冒名 顶替 ”| 网 络 实体 和 报 文 的 认证 
伪造 数据 正确 信息 被 假 信息 取代 “| 技术 


(1) 网 络 层 的 安全 协议 

网 络 层 的 安全 协议 (Internet Protocol Security, IPSec) 位 于 网 络 层 , 它 为 IPv4 和 
IPv6 协议 数据 提供 加 密 安 全 服务 ,包含 AH 和 ESP 两 个 协议 。IPSec 使 用 ISAKMP/ 
Oakley 及 SKIP 进行 密 钥 交换 ,管理 及 安全 关联 组 的 协商 (Security Association) 。IPSec 的 
安全 服务 包括 访问 控制 数据 源 认证 、 无 连接 数据 完整 性 、 抗 重播 、 数 据 机 密 性 和 有 限 的 通信 
流量 机 密 性 。IPSec 使 用 身份 认证 机 制 进行 访问 控制 ,在 两 个 IPSec 实体 进行 通信 前 ,必须 
通过 IKE 建立 安全 关联 SA ,协商 过 程 中 要 进行 身份 认证 。 身 份 认证 采用 公 钥 签名 机 制 ,使 
用 数字 签名 标准 (DSS) 算 法 或 RSA 算法 ,而 公 钥 通常 从 证 书 中 获得 。IPSec 使 用 消息 鉴别 
机 制 实现 数据 源 验证 服务 , 即 发 送 方 在 发 送 数据 包 前 ,要 用 消息 鉴别 算法 HMAC 计算 出 报 
文 认证 码 MAC,HMAC 将 消息 和 密 钥 作为 输入 ,以 MAC 作为 输出 ,目的 端 收 到 IP 包 后 ， 
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使 用 相同 的 验证 算法 和 密 钥 计 算 验 证 数据 ,如 果 计 算出 的 MAC 与 数据 包 中 的 MAC 完全 
相同 , 则 认为 数据 包 通 过 了 完整 性 验证 。IPSec 使 用 数据 源 验 证 机 制 实现 无 连接 完整 性 服 
务 , 即 对 单个 数据 包 是 否 被 算 改 进行 检查 ,而 对 数据 包 的 到 达 顺 序 不 作 要 求 。IPSec 提供 抗 
重 放 攻击 服务 ,可 防止 攻击 者 截取 和 复制 IP 包 , 然 后 发 送 到 原 目 的 地 ,IPSec 根据 报 文 头 部 
中 的 序号 字段 ,使 用 滑动 窗口 原理 实现 抗 重 放 攻 击 。 对 通信 流 保 密 服务 是 指 防 止 对 通信 的 
外 部 属性 ( 源 地 址 .目的 地 址 消息 长 度 和 通信 频 度 等 ) 的 泄露 ,防止 攻击 者 对 网 络 流量 进行 
分 析 , 推导 其 中 的 传输 频 度 . 通 信者 身份 .数据 包 大 小 .数据 流标 识 符 等 信息 。 详 见 后 续 
介绍 。 

(2) 安全 套 接 层 协 议和 传输 层 的 安全 协议 

安全 套 接 层 协议 (Security Socket Layer,SSL) 和 传输 层 安 全 协议 (Transport Layer 
Security,TLS) 位 于 传输 层 协 议 TCP 与 应 用 层 之 间 。SSL 协议 最 早 由 Netscape 公司 于 
1994 年 11 月 提出 SSLv2, 并 于 1966 年 推出 SSLv3 。 后 被 互联 网 工程 任务 组 IETF 所 采纳 ， 
经 过 修改 后 制定 为 传输 层 安 全 协议 TLS。 由 于 SSLVTLS 受到 主流 服务 器 和 浏览 器 的 支 
持 , 且 具有 在 Web 中 部 署 的 简易 性 和 较 高 的 安全 性 ,现在 已 经 成 为 最 为 广泛 应 用 的 Web 安 
全 协议 之 一 。 近 年 来 SSL/TLS 的 应 用 领域 被 不 断 拓宽 ,网 络 银行 和 商务 网 站 等 传输 的 敏 
感 信息 (如 用 户 账 户 信息 、 信 用 卡号 .电子 邮箱 的 登陆 账号 及 密码 等 机 密 信息 ) 都 选择 采用 
SSLVTLS 技术 以 进行 安全 保护 。SSLVTLS 协议 巧妙 地 组 合 使 用 了 网 络 安全 中 的 一 些 经 典 
技术 ,包括 加 密 .消息 摘要 数字 证 书 等 技术 ,做 到 了 信息 保护 的 安全 性 、 完 整 性 及 可 靠 性 。 
当前 的 网 络 银行 和 商业 网 站 以 使 用 TLS 协议 为 主 。 

(3) 应 用 层 的 安全 电子 交易 协议 

安全 电子 交易 协议 (Secure Electronic Transaction, SET) 由 美国 MasterCard 和 Visa 
两 大 信用 卡 组 织 提 出 ,是 应 用 于 Internet 上 的 以 信用 卡 为 基础 的 电子 支付 系统 协议 。 它 采 
用 X.509 数字 证 书 技术 和 公 钥 密码 体制 ,主要 用 于 供 货 商 、 购 货 方 和 银行 等 多 方 之 间 的 商 
务 交 易 与 决算 支付 。SET 协议 本 身 比较 复杂 ,逻辑 设计 严谨 ,安全 性 高 ,能 够 有 效 地 保证 信 
息 传输 的 真实 性 ,完整 性 、 机 密 性 和 不 可 否认 性 。 

SET 协议 中 ,支付 环境 的 信息 保密 是 通过 公 钥 加 密 法 和 对 称 密 钥 加 密 法 相 结合 的 算法 
来 获得 的 。 它 采用 RSA 公 钥 密码 体制 ,以 及 DES 对 称 密 钥 数据 加 密 标准 ,这 两 种 不 同 加 密 
技术 的 结合 应 用 在 SET 中 被 形象 地 称 为 数字 信封 。 用 RSA 加 密 对 称 密 钥 相 当 于 使 用 了 数 
字 信 封 , 报 文 以 56 位 的 DES 密 钥 加 密 ,然后 装 入 使 用 1024 位 RSA 公 钥 加 密 的 数字 信封 在 
交易 各 方 间 传 输 ,这 两 种 密 钥 相 结合 的 办 法 保证 了 交易 中 数据 信息 的 保密 性 。 

在 网 络 交 易 的 供求 双方 和 银行 之 间 ,SET 协议 通过 数字 签名 方案 来 进行 消息 源 的 认 
证 ,该 协议 应 用 了 双重 签名 (Dual Signatures) 技 术 以 提高 身份 认证 的 准确 性 。 在 一 项 安全 
电子 商务 交易 中 ,商家 只 有 确认 了 对 应 于 持 卡 人 的 支付 指令 ,以 及 对 应 的 定购 信息 才能 够 按 
照 定购 信息 发 货 ;而 银行 只 有 确认 了 与 该 持 卡 人 支付 指令 相对 应 的 交易 款 信息 是 真实 可 靠 
的 ,才能 够 按照 商家 的 要 求 进行 支付 。 详 见 后 续 介 绍 。 

(4) 应 用 层 的 安全 协议 

安全 超 文本 传输 协议 (Secure Hyper Text Transfer Protocol,S-HTTP) 是 EIT 公司 在 
HTTP 协议 的 基础 上 设计 的 一 种 安全 通信 协议 。S-HTTP 协议 处 于 应 用 层 , 仅 适用 于 
HTTP 的 链接 上 。 该 协议 可 提供 身份 识别 、 通 信保 密 、 数 字 签 名 及 可 信赖 的 信息 传输 服务 
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等 。S-HTTP 提供 了 完整 且 灵 活 的 加 密 算法 及 相关 和 参数。 客户 机 和 服务 器 可 以 协商 选择 
加 密 算法 、 证 书 、 安 全 事务 处 理 模 式 等 安全 技术 并 达成 一 致 。 其 中 ,加 密 算法 可 选 为 对 称 密 
钥 算法 RC2 和 DES 等 , 非 对 称 密 钥 算法 可 使 用 RSA 等。 

S-HTTP 通过 在 所 交换 的 数据 包 中 加 入 特殊 的 头 标志 来 建立 安全 通信 。S-HTTP 支 
持 端 对 端的 安全 传输 ,客户 机 可 以 率先 启动 安全 传输 (使 用 报头 的 信息 )。 当 使 用 S-HTTP 
时 ,敏感 的 数据 信息 不 会 以 明文 形式 在 网 络 上 传输 。( 注 意 区 别 : S-HTTP 与 HTTPS 不 
同 , 参 看 第 11. 2 节 的 介绍 .) 

(5) 应 用 层 的 安全 协议 

安全 超 文 本 传输 协议 (Secure Hypertext Transfer Protocol,HTTPS) 由 Netscape 开发 
并 内 置 于 浏览 器 中 ,用 于 对 应 用 层 HTTP 数据 进行 压缩 .解压 和 加 密 等 操作 ,并 返回 网 络 上 
传送 数据 的 结果 。HTTPS 使 用 安全 套 接 层 协 议 SSL/TLS 作为 HTTP 与 TCP 之 间 的 子 
层 。HTTPS 服务 器 使 用 端口 443 ,而 不 是 HTTP 的 80 端口 。HTTPS 的 句法 同 HTTP 类 
似 ,现在 它 被 广泛 用 于 万 维 网 上 敏感 信息 的 传递 ,例如 电子 交易 支付 和 网 络 办 公 等 方面 。 

除了 上 述 安全 协议 外 ,前面 章节 已 介绍 过 的 还 有 安全 /多 功能 互联 网 电子 邮件 扩展 协议 
S/MIME( 第 6 章 ), 网 络 用 户 3A 认证 与 密 钥 分 发 管理 的 Kerberos 协议 (第 10 章 ) 等 。 各 种 
安全 协议 在 TCP/IP 互联 网 模型 中 的 位 置 如 图 11. 3 所 示 。 


HTTPS | FTP | SMTP SIMIME | PGP | SET 
HTTP | FTP | SMTP SSL 或 TLS Kerberos SMTP | HTTP 
TCP TCP UDP TCP 
IP/IPSec IP IP 
(a) 网 络 层 安全 协议 (b) 传输 层 安全 协议 (0) 应 用 层 安全 协议 


图 11.3 各 种 安全 协议 在 TCP/IP 网 络 模型 中 的 位 置 


Web 安全 协议 IPSec,SSLVTLS,PGP 和 VPN 等 的 数据 包 结构 有 个 共同 点 : 首先 从 上 
层 数 据 中 产生 一 个 报 文 认 证 码 ,然后 与 来 自 上 层 的 报 文 加 密 后 再 一 起 封装 传输 。 它 们 分 别 
从 各 自 对 应 的 上 级 协议 层 中 取出 数据 包 , 转 换 为 一 个 经 过 加 密 和 认证 的 新 的 数据 包 , 然 后 封 
装 为 本 层 的 协议 数据 单元 PDU 传输 出 去 。 这 些 经 过 安全 处 理 后 的 数据 包 的 结构 是 相似 
的 ,如 图 11.4 所 示 。 注 意 ,在 加 密 处 理 过 程 中 可 以 包括 这 些 安全 协议 的 头 部 或 尾部 ,也 可 以 
不 包括 。 在 有 些 协议 中 ,可 能 还 需要 封装 更 多 的 信息 在 安全 数据 包 中 ,图 11.4 只 是 一 个 总 
体 概念 。 


安全 协议 的 尾部 MAC | 加 密 后 的 IP， TCP 或 SMTP | 安全 协议 头 部 


发 送 方 数据 流 方向 一 一 一 一 接收 方 


图 11.4 几 种 网 络 安全 协议 的 数据 包 具 有 相似 的 结构 


另外 ,发 送 方 与 接收 方 在 通信 之 前 双方 需要 事先 知道 至 少 两 个 密 钥 : 一 个 用 于 生成 报 
文 认证 码 MAC , 另 一 个 用 于 对 IP、TCP 或 SMTP 数据 包 的 加 /解密 。 然 后 双方 进行 协商 ， 
产生 和 约定 本 次 通信 采用 的 “安全 参数 组 ”( 即 各 种 密 钥 和 算法 等 ), 这 些 参数 是 一 次 性 使 用 
的 , 仅 用 于 本 次 通信 数据 的 验证 与 加 /解密 。 
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对 安全 通信 的 各 方 所 需要 的 “安全 参数 组 ”的 传递 ,可 以 采用 RSA 公开 密 钥 加 密 技 术 。 
运行 的 步 又 可 以 分 为 一 步 式 方法 和 两 步 式 方法 : 

(1) 在 一 步 式 方法 中 ,首先 使 用 会 话 密 钥 产生 报 文 认证 码 , 并 将 MAC 和 数据 加 密 。 可 
以 将 会 话 密 钥 与 算法 标识 用 私 钥 加 密 后 与 数据 一 起 传输 。 即 每 次 通信 不 需要 通过 协商 产生 
新 的 安全 参数 组 。 安 全 电子 邮件 PGP 使 用 的 是 一 步 式 的 方法 。 

(2) 在 两 步 式 的 方法 中 ,通信 前 首先 用 公 钥 加 密 技术 在 通信 各 方 ( 即 安全 关联 组 ) 之 间 
协商 产生 新 的 本 次 通信 使 用 的 安全 参数 组 ,然后 再 使 用 这 些 安全 参数 组 进行 保密 通信 。 
IPSec 和 SSL/TLS 使 用 的 是 两 步 式 的 方法 。 


11.1 网 络 层 安全 协议 IPSec 与 VPN 


11.1.1 IPSec 的 传输 模式 


IPSec(IP Security) 是 IETF 互联 网 工程 任务 组 开发 的 一 组 协议 ,用 于 在 网 络 层 提供 对 
上 层 ( 传 输 层 ) 的 数据 包 的 安全 验证 和 加 密 传输 。IPSec 可 部 署 于 客户 端 /服务 器 之 间 ,对 等 
网 络 主机 之 间 , 路 由 器 与 路 由 器 之 间 , 网 关 与 网 关 之 间 ,拨号 客户 机 从 专用 网 络 访问 互联 网 
等 。IPSec 有 两 种 模式 : 传输 模式 和 隧道 模式 。 

IPSec 传输 模式 如 图 11. 5 所 示 ,通常 用 于 在 两 个 网 络 主 机 与 主机 的 通信 中 对 传输 层 以 
上 的 数据 提供 加 密 保护 。 发 送 端 主 机 使 用 IPSec 对 上 层 的 数据 段 进行 验证 和 加 密 后 ,加 上 
IPSec 的 头 部 与 尾部 ,组 成 IPSec 的 协议 数据 单元 PDU ,再 封装 到 IP 包 中 发 送出 去 。 接 收 
端 主机 对 收 到 的 IP 包 的 载荷 ( 即 IPSec 包 ) 进 行 完整 性 验证 和 解密 ,再 将 解密 获得 的 数据 段 
传输 给 上 层 。 传 输 模式 对 IP 包头 部 的 信息 (例如 源 主机 和 目的 主机 的 IP 地 址 等 信息 ) 不 加 
密 , 只 加 密 保护 IP 包 内 部 的 载荷 ( 即 传输 层 数据 段 )。 网 络 路 由 器 等 设备 仍然 可 以 利用 IP 
头 部 的 信息 进行 IP 包 的 转发 ,窃听 者 也 可 以 通过 获取 IP 头 部 的 信息 来 分 析 内 部 局 域 网 的 
结构 ,但 是 IP 包 内 部 的 载荷 是 加 密 的 。 


传输 层 传输 层 数据 自 传输 层 传输 层 数 据 自 
1 1 1 t 1 
互联 网 层 | | 互联 网 层 | | 
IPSec | IPSec 头 部 | IPSec 载荷 “| IPSec 尾部 IPSec | IPSec 头 部 | IPSec 载荷 “| IPSec 尾部 
IP 头 部 IP 载 荷 | IP 头 部 IP 载 荷 
和 关 放 二 加 2 4 接收 端 主 术 


11.1.2 IPSec 的 隧道 模式 


IPSec 隧道 模式 如 图 11. 6 所 示 , 该 模式 将 局 域 网 内 的 原 IP 包 整 个 加 密封 装 到 一 个 新 
的 IPSec 包 中 保护 起 来 ,加 上 新 的 公 网 的 IP 头 后 构成 一 个 公 网 IP 包 发 送出 去 。 新 的 IP 包 
头 部 的 源 和 目的 IP 地 址 分 别 为 两 个 路 由 器 的 公 网 IP 地 址 ,而 原 IP 包头 部 的 地 址 信息 被 加 
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密 , 因 此 隧道 模式 不 但 对 原 IP 载荷 数据 加 密 ,而 且 也 对 原 IP 头 部 信息 加 密 。 隧 道 模式 将 原 
IP 头 部 和 原 IP 载荷 都 进行 加 密 , 封 装 到 一 个 新 的 公 网 IP 包 中 传输 ,就 像 是 通过 一 个 隧道 
传输 一 样 , 公 网 上 的 窃听 者 不 能 获取 原 IP 头 部 和 IP 载荷 数据 的 信息 。 


+ 
互联 网 层 。。 原 Ip 包 [1p 头 | 1p 载荷 互联 网 层 。 原 Ip 包 [1p 头 | JP 载荷 
1 t 
IPSec 层 | IPSec 头 部 IPSec 载荷 “| IPSec 尾部 IPSec 层 | IPSec 头 部 | IPSec 载荷 “| IPSec 尾部 
1 1 
新 IP 头 新 耳 包 载荷 新 IP 头 新 卫 包 载荷 
4 


主机 或 路 *@. Se 站 办” 


图 11.6 IPSec 的 隧道 模式 将 整个 原 IP 包 封装 传输 


隧道 模式 可 部 署 于 通过 公 网 将 两 个 局 域 网 互 连 的 双方 路 由 器 上 ,也 可 部 署 于 公 网 上 的 
一 个 路 由 器 与 一 台 主 机 之 间 进 行 IP 包 的 加 密 传输 。 例 如 ,在 IPSec-VPN 虚拟 专 网 中 ,在 连 
接 两 个 局 域 网 的 路 由 器 之 间 采 用 隧道 模式 ,将 两 个 局 域 网 的 内 部 IP 包 通 过 隧道 连通 ,以 便 
通过 公 网 的 传输 信道 构成 一 个 虚拟 专 网 。 


11.1.3 IPSec 的 两 个 安全 协议 AH 和 ESP 


IPSec 定义 了 两 个 协议 : 认证 头 部 协议 (Authentication Header,AH) 和 封装 安全 载荷 
协议 (Encapsulating Security Protocol,ESP) ,它们 分 别 用 于 在 网 络 层 提供 验证 和 加 密 。 

IPSec 报 文 完整 性 验证 常用 MD5 或 SHA 计算 报 文摘 要 ,加密 方法 常用 对 称 密 钥 加 密 
技术 DES 或 3DES ,而 对 称 密 钥 的 生成 与 交换 常用 Differ-Hellman 算法 (参看 第 10 章 ) 。 

1. IPSec 的 认证 头 部 协议 

认证 头 部 协议 提供 对 源 主机 的 认证 ,同时 对 IP 包 内 的 载荷 信息 提供 完整 性 检测 ,但 不 
加 密 。AH 协议 使 用 一 个 Hash 函数 和 一 个 对 称 密 钥 来 产生 一 个 报 文摘 要 ,将 此 报 文 摘要 
插入 AH 的 认证 头 部 字段 中 。 根 据 IPSec 是 传输 模式 或 是 隧道 模式 ,将 AH 放 入 相应 的 位 
置 。 图 11.7 所 示 为 传输 模式 时 ,AH 字段 在 IP 包 中 的 位 置 。 


六 用 于 计算 认证 的 数据 范围 区 
包头 部 认证 头 部 ”传输 层 载荷 ”| 填充 


下 个 头 部 | 载荷 长 度 保留 (16 比 特 ) 
安全 参数 索引 (32 比 特 ) 
序列 号 (32 比 特 ) 
认证 数据 ( 搞 要) 可 变 长 度 


图 11.7 IPSec 的 认证 头 部 协议 AH 的 数据 包 结 构 


当 一 个 IP 包 中 含有 认证 头 部 AH 时 ,IP 头 部 的 协议 字段 的 值 为 51( 参 看 图 4. 15 中 了 
头 部 的 协议 内 容 )。 在 AH 中 有 一 个 “下 个 头 部 ”字段 ,存放 的 是 原 IP 包 中 的 协议 字段 的 值 
(标识 IP 包 内 的 载荷 类 型 ) 。 
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AH 认证 头 部 中 各 字段 简要 介绍 如 下 : 

(1) 下 个 头 部 : 长 度 8 位 ,标识 了 包 内 封装 的 上 一 层 的 协议 类 型 , 即 原 IP 包 内 的 载荷 数 
据 类 型 (如 TCP、UDP、ICMP、OSPF 等 )。 例 如 , 若 原 卫 包 封装 的 是 TCP 协议 数据 ,那么 原 
IP 头 部 的 协议 字段 值 为 6,AH 就 将 此 值 6 复制 到 “下 个 头 部 ”。 而 将 新 IP 包头 中 的 协议 字 
段 的 值 设 为 51 ,以 标识 此 包 中 含有 AH。 

(2) 载荷 长 度 : 长 8 位 ,标识 AH 认证 头 部 长 度 ,为 4 字 节 的 整数 倍 , 但 不 包含 前 
8 字 节 。 

(3) 安全 参数 索引 : 长 32 位 .安全 参数 索引 (Security Parameter Index,SPI) 的 作用 类 
似 虚 电路 标识 符 , 在 同一 个 安全 关联 组 (Security Association) 的 通信 过 程 中 ,所 有 IP 包 的 
安全 参数 索引 的 值 相同 。 

(4) 序列 号 : 长 32 位 ,提供 IP 包 的 顺序 编号 信息 。 此 顺序 号 不 重复 使 用 , 当 一 个 包 被 
重 传 后 ,顺序 号 不 重复 。 当 顺序 号 达到 最 大 值 2 后 ,必须 启动 一 个 新 的 连接 。 

(5) 验证 数据 ( 报 文摘 要 ): 长 度 取 决 于 采用 的 Hash 算法 。 它 是 应 用 Hash 算法 对 整 
个 IP 包 进 行 计 算 所 得 到 的 报 文摘 要 。 计 算 时 ,不 包含 IP 头 部 的 生存 期 TTL 值 ,因为 传输 
中 TTL 值 是 变化 的 。 

在 IP 包 中 加 入 AH 认证 头 部 的 过 程 如 下 : 

a 将 “验证 头 部 ”字段 加 入 到 新 IP 包头 部 后 的 载荷 位 置 ,将 其 中 的 “验证 数据 ( 报 文摘 
要 )” 置 0; 

@ 为 了 保证 使 用 不 同 Hash 算法 时 ,总 长 度 满足 计算 要 求 ,要 加 入 “填充 "字段 ; 

@ 用 于 计算 “验证 数据 ( 报 文摘 要 )" 的 数据 范围 包括 整个 原 IP 包 , 计 算 报 文摘 要 的 这 
些 IP 包 中 的 数据 ,在 整个 传输 过 程 中 必须 保持 不 变 ; 

@ 将 计算 出 的 报 文摘 要 加 入 到 认证 头 部 中 的 “验证 数据 (摘要 )” 字 段 ; 

@ 将 新 IP 头 部 的 "上 层 协议 ”字段 的 值 设置 为 51( 参 看 图 4. 15 及 其 说 明 )。 

IPSec 的 AH 协议 只 提供 对 信 源 和 数据 完整 性 的 验证 ,不 提供 对 传输 层 载荷 的 加 密 ,已 
较 少 使 用 。 

2. IPSec 的 封装 安全 载荷 协议 

由 于 AH 协议 不 提供 对 传输 层 载 荷 数 据 的 保密 ,因此 IPSec 又 制订 了 封装 安全 载荷 协 
议 (Encapsulating Security Payload,ESP) 。 它 加 入 了 一 个 新 的 头 部 和 一 个 尾部 ,并 实现 对 
传输 层 载 荷 数据 的 加 密 。 图 11. 8 为 ESP 头 部 和 尾部 的 位 置 。ESP 的 验证 数据 ( 报 文摘 要 ) 
放 在 包 的 尾部 ,这 样 在 接收 端 进行 完整 性 验证 时 处 理 较 方便 。 

当 一 个 IP 包 内 携带 了 ESP 头 部 和 尾部 时 ,IP 头 部 的 协议 字段 的 数值 设 为 50( 参 看 
图 4.15)。 在 ESP 尾部 的 “下 个 头 部 ”字段 中 存放 的 是 原 IP 头 部 中 协议 字段 的 值 ( 即 标明 IP 
包 中 携带 的 载荷 是 传输 层 的 TCP 还 是 UDP 协议 )。 

ESP 头 部 和 尾部 中 的 各 字段 说 明 如 下 : 

(1) 安全 参数 索引 : 长 32 位 ,与 AH 协议 中 的 SPI 定义 相同 。 

(2) 序列 号 : 长 32 位 , 它 与 AH 协议 中 的 序列 号 定义 相同 。 

(3) 填充 : 填充 0, 个 数 在 0 一 255 之 间 可 变 。 

(4) 填充 长 度 : 长 8 位 , 值 在 0~255 之 间 , 它 定义 了 填充 的 字 节 数目 。 

(5) 下 个 头 部 : 长 8 位 , 它 的 定义 与 AH 协议 中 的 下 个 头 部 的 定义 相同 。 它 的 值 等 于 
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IP 头 部 在 ESP 封装 前 的 协议 字段 的 值 ,用 于 标明 内 部 携带 的 传输 层 协议 类 型 。 
(6) 验证 数据 (摘要 ): 它 是 用 验证 算法 对 图 11. 8 中 被 验证 保护 部 分 计算 出 的 报 文 
摘要 。 
被 认证 保护 部 分 
被 加 密 部 分 


IP 头 部 | ESP 头 部 | 传输 层 载荷 ESP 尾 部 | 认证 数据 (摘要 ) 长 度 可 变 


安全 参数 索引 32bits 填充 32bits 的 整数 倍 
序列 号 32bits 填充 长 度 Sbits | 下 个 头 部 8bits 


图 11.8 IPSec 的 封装 安全 载荷 协议 ESP 数据 包 结构 


实现 封装 安全 载荷 ESP 协议 的 步骤 如 下 : 

QO@ 在 IP 包 的 载荷 中 加 入 ESP 尾部 ; 

@ 对 载荷 和 尾部 进行 加 密 ; 

@ 加 入 ESP 的 头 部 ; 

@ 用 ESP 头 部 、 传 输 层 载荷 与 ESP 尾部 来 计算 产生 验证 数据 (摘要 ), 即 用 图 中 “被 验 
证 保护 部 分 "的 数值 来 计算 验证 摘要 ; 

@ 将 计算 结果 “验证 数据 (摘要 )” 加 在 ESP 尾部 的 后 面 ; 

@ 将 新 的 了 P 头 部 加 在 ESP 头 部 前 面 ,并 将 了 P 头 部 中 的 协议 字段 值 设 为 50。 

IPSec 的 ESP 协议 不 但 提供 对 信 源 和 数据 完整 性 的 验证 ,还 提供 对 传输 层 载 荷 数据 的 
加 密 。 当 前 在 构建 IPSec-VPN 虚拟 专 网 时 主要 采用 ESP 协议 。 

3. IPSec 协议 支持 IPv4 和 IPv6 

在 IPv6 中 ,AH 和 ESP 是 IPv6 的 扩展 头 部 的 一 部 分 (参见 图 4.24)。IPSec 的 ESP 协 
议 是 在 AH 协议 之 后 设计 的 ,ESP 提供 AH 的 所 有 功能 .还 加 上 对 载荷 数据 的 加 密 。 
AH 将 要 退出 使 用 ,让 位 给 ESP 协议 。IPSec 的 AH 和 ESP 协议 在 网 络 层 提供 的 安全 服务 
及 其 对 照 关 系 如 表 11.2 所 示 。 


表 11.2 IPSec 协 议 在 网 络 层 提供 的 服务 


IPSec 提供 的 网 络 层 的 安全 服务 AH ESP 
访问 控制 : 如 果 不 先 建立 安全 关联 组 , 卫 包 到 达 目 的 主机 后 就 被 丢弃 。 V/ V/ 
报 文 的 完整 性 验证 : 发 送 方 产生 报 文摘 要 ,接收 方 用 摘要 检测 报 文 的 完整 性 。 V/ V 
实体 认证 : 利用 安全 关联 组 和 加 密 的 Hash 摘要 ,可 以 对 发 送 方 进行 认证 。 V/ V/ 
加 密 : 在 ESP 中 提供 对 传输 层 数据 进行 加 密 ,而 AH 不 提供 。 X V/ 
防止 重 放 攻击 : 利用 包 中 的 序列 号 和 滑动 接收 窗 ,可 以 防止 重 放 攻击 。 V/ ~ 


4. IPSec 的 安全 关联 组 的 概念 
在 使 用 安全 协议 (如 IPSec、SSL/ TLS、PGP) 进 行 网 络 通信 之 前 ,需要 先 在 通信 各 方 之 
间 通 过 协商 建立 一 组 用 于 本 次 通信 的 安全 参数 。 在 IPSec 协议 中 ,此 安全 参数 组 是 通过 称 
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为 “安全 关联 组 SA”(Security Association) 的 方式 实现 的 。 

IP 协议 是 一 个 无 连接 的 协议 ,每 个 IP 包 的 传输 是 相互 独立 的 。IPSec 的 发 送 方 第 一 次 
发 送 数据 报 给 接收 方 时 ,要 先 建立 一 组 安全 参数 ,作为 本 次 安全 通信 使 用 的 参数 ,并 将 其 保 
存 起 来 ,作为 今后 在 同一 组 收发 双方 之 间 安 全 地 传输 IP 包 使 用 。 

“安全 关联 组 ”是 IPSec 中 一 个 很 重要 的 内 容 ,IPSec 利用 它 将 无 连接 的 IP 协议 转换 为 
一 个 面向 连接 的 协议 。 也 可 以 把 特定 的 发 送 方 和 接收 方 之 间 的 关联 组 的 建立 认为 是 建立 了 
一 个 逻辑 的 连接 ,发 送 方 今天 可 以 发 送 一 个 数据 报 给 接收 方 , 几 天 后 又 发 送 另外 一 个 数据 报 
给 接收 方 。 人 逻辑 连接 建立 后 ,就 可 以 进行 数据 报 的 安全 传输 了 ,收发 双方 也 可 以 终止 此 连 
接 , 也 可 以 在 他 们 之 间 重新 建立 一 个 更 安全 的 通信 连接 。 

安全 关联 组 SA 的 基本 概念 可 以 通过 一 个 简单 的 例子 来 说 明 : 假设 小 李 想 要 与 小 张 进 
行 一 个 双向 的 安全 通信 ,首先 需要 在 双方 之 间 确 立 “ 安 全 关联 组 ”的 关系 。 小 李 用 一 个 向 外 
的 安全 关联 SA 与 小 张 通信 ,同时 他 还 有 一 个 向 内 的 安全 关联 SA 来 接收 小 张 发 来 的 数据 
报 。 同 样 ,小 张 也 有 一 个 向 外 的 安全 关联 和 一 个 向 内 的 安全 关联 。 在 这 种 情况 下 ,安全 关联 
组 的 实现 就 是 在 小 李 和 小 张 主机 内 的 两 张 安全 参数 表 。 

图 11.9 所 示 , 当 小 李 需 要 向 小 张 发 送 一 个 数据 报时 ,他 使 用 IPSec 的 ESP 协议 ,利用 
具有 密 钥 x 的 SHA-1 来 进行 完整 性 验证 (例如 ,双方 预约 了 SHA-1 的 缓存 器 初始 值 , 参 看 
图 10. 18) ,利用 密 钥 为 y 的 DES 进行 数据 加 密 。 当 小 张 要 发 送 一 个 数据 报 给 小 李 时 , 他 使 
用 IPSec 的 AH 协议 ,利用 密 钥 为 z 的 MD5 进行 完整 性 验证 。 注 意 ,小 张 的 向 内 关联 与 小 
李 的 向 外 关联 参数 组 相同 ( 仅 密 钥 不 同 ) ,反之 也 是 如 此 。 


向 外 安全 关联 组 SA 向 外 安全 关联 组 SA 
目标 | 协议 认证 加 密 目标 | 协议 认证 加 密 
小 张 | ESP | SHA-1, x | DES-y 小 张 | AH | MD5, z 
向 内 安全 关联 组 SA 向 内 安全 关联 组 SA 
来 自 | 协议 认证 加 密 来 自 | 协议 认证 加 密 
小 张 | AH | MD5, z 小 张 | ESP | SHA-1, z | DES-y 
小 李 “© 
认证 与 加 密 dl IPSec 数 据 报 | 核对 与 解密 
核对 认证 
IPS 
时 间 | = 时 间 


图 11.9 向 外 与 向 内 的 安全 关联 组 的 简单 概念 


(1) 安全 关联 组 的 数据 库 (Security Association Database,SADB): 一 个 安全 关联 组 可 
以 是 很 复杂 的 ,特别 是 当 小 李 要 发 送 报 文 给 很 多 人 ,或 者 小 张 需要 从 很 多 人 那里 接收 报 文 
时 。 通 信 的 每 一 方 都 要 有 一 个 向 外 的 关联 SA 和 一 个 向 内 的 关联 SA ,才能 进行 双向 的 安全 
通信 。 换 言 之 ,需要 具备 多 组 SA 参数 ,可 以 构成 一 个 数据 库 。 这 个 数据 库 称 为 “安全 关联 
组 数据 库 ”, 它 可 以 被 认为 是 一 个 二 维 的 表 , 其 中 的 每 一 行 定义 了 一 个 SA。 通 常 有 两 个 
SADB ,一 个 是 向 外 的 SADB, 另 一 个 是 向 内 的 SADB。 

(2) 安全 参数 索引 : 它 用 于 区 分 各 个 不 同 的 安全 关联 组 SA。 一 个 安全 关联 组 由 3 个 
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参数 唯一 地 确定 : 安全 参数 索引 SPI, 目的 地 址 (向 外 关联 ) 或 源 地 址 (向 内 关联 ) ,协议 (AH 
或 ESP) 。 


11.1.4 实现 虚拟 私有 网 络 的 各 类 技术 


1. 虚拟 私有 网 络 的 IP 地 址 

虚拟 私有 网 络 是 一 种 通过 公共 互联 网 将 几 个 远程 局 域 网 互联 而 构成 一 个 大 的 虚拟 私有 
网 络 的 技术 。 它 利用 IPSec 协议 对 内 网 的 IP 数据 报 进行 认证 、 完 整 性 和 加 密 的 处 理 。 

(1) 私有 网 络 : 它 是 专门 设计 了 作为 单位 内 部 使 用 的 网 络 。 私 有 网 络 的 用 户 可 以 访问 
和 共享 单位 内 部 的 信息 资源 ,同时 防止 外 部 人 员 的 访问 ,具有 内 网 的 保密 性 。 在 讨论 私有 网 
络 的 属性 之 前 , 先 讨 论 内 联网 和 外 联网 的 概念 。 

(2) 内 联网 (intranet) : 是 一 个 私有 网 络 ,也 称 为 本 地 网 络 或 局 域 网 LAN。 它 使 用 的 也 
是 互联 网 Internet 的 技术 ,然而 对 私有 网 络 资源 的 访问 仅 限 制 于 单位 内 部 的 计算 机 用 户 。 
私有 网 络 内 可 运行 互联 网 的 所 有 类 型 的 应 用 ,例如 HTTP、Web 服务 器 .打印 服务 器 文件 
服务 器 等 。 

(3) 外 联网 Cextranet) : 结构 与 私有 网 络 一 样 , 不 同 之 处 是 在 网 络 管理 员 的 控制 下 ,网 
络 的 某 些 资源 可 以 被 外 部 网 络 的 一 些 特定 用 户 访问 。 例 如 ,一 个 公司 的 网 络 可 以 允许 外 部 
的 授权 用 户 访问 公司 内 网 服务 器 上 的 产品 手册 ,在 线 订货 、 售 后 服务 等 。 一 个 大 学 也 可 以 让 
远程 教学 的 学 员 通 过 口令 和 用 户 名 的 认证 后 ,访问 学 校内 的 实验 室 和 图 书馆 网 络 等 。 

私有 网 络 地 址 : 私有 网 络 内 采用 了 互联 网 协议 后 ,就 必须 使 用 IP 地 址 。 有 3 种 方案 
可 选 : 

Q@ 私有 网 络 可 以 使 用 互联 网 权威 机 构 分 配 的 一 组 全 球 IP 地 址 ,但 是 仅 在 私有 网 络 内 
部 使 用 。 这 种 方案 的 优点 是 ,如 果 将 来 单位 的 局 域 网 要 合并 人 互联 网 ,就 不 必 更 换 主 机 地 
址 ,很 方便 。 缺 点 是 ,浪费 了 珍贵 的 互联 网 全 球 地 址 。 

@ 私有 网 络 可 以 在 内 部 使 用 自己 选择 的 任意 IP 地 址 ,而 不 需 经 过 互联 网 权威 机 构 的 
认可 。 因 为 私有 网 络 是 对 外 隔离 的 ,用 户 使 用 的 地 址 只 要 在 内 网 是 唯一 的 就 行 了 ,没有 必要 
全 球 了 唯一。 这 种 方案 的 缺点 是 ,在 使 用 中 可 能 会 混淆 私 网 地 址 和 全 球 地 址 的 概念 ,在 复杂 的 
大 型 私 网 的 配置 中 造成 混乱 。 

@ 为 了 解决 上 述 两 种 方案 的 不 足 , 互 联网 权威 机 构 保 留 了 3 组 私 网 IP 地 址 , 供 私有 网 
络 内 部 使 用 ,如 表 11. 3 所 示 。 


表 11.3 IPv4 划分 的 私 网 IP 地 址 
私 网 地 址 范围 


10.0.0.0 至 10. 255. 255. 2 


私 网 地 址 的 前 组 
10/8 


172.16/12 172. 16. 0.0 至 172. 31.255.255 


55 


192. 168/16 192. 168. 0.0 至 192. 168. 255. 2 


任何 单位 或 个 人 都 可 使 用 上 述 的 私 网 IP 地 址 ,而 不 需要 经 过 互联 网 权威 机 构 的 认可 。 

这 些 地 址 被 限制 在 私有 网 络 内 部 使 用 ,只 要 保证 主机 地 址 在 和 有 网 络 内 是 唯一 的 就 行 了 ,但 

是 在 全 球 不 是 唯一 的 。 一 般 默认 情况 下 任何 路 由 器 都 不 会 向 外 网 转发 内 网 中 的 目的 地 址 是 
”356“。 


私 网 地 址 的 IP 包 。 

2. 私有 网 络 远 程 互 联 的 方案 

为 了 实现 同一 个 单位 的 远程 局 域 网 之 间 互 联 传输 的 信息 对 外 保密 ,可 以 采用 3 种 网 络 
策略 : 利用 专线 互联 的 私有 广域网 络 , 利 用 混合 线路 互联 的 私有 广域网 络 , 利 用 虚拟 信道 互 
联 的 私有 广域网 络 。 

@ 利用 专线 互联 的 私有 广域网 络 : 对 于 只 有 一 个 工作 区 域 的 小 单位 可 以 使 用 与 外 部 
物理 隔离 的 局 域 网 (LAN)。 局 域 网 内 部 的 用 户 之 间 可 以 相互 传输 数据 ,这 些 数 据 不 会 进入 
外 部 网 络 。 对 于 有 几 个 工作 区 域 的 大 单位 ,可 以 采用 私有 的 广域网 ,利用 路 由 器 和 租用 线路 
将 几 个 不 同 工 作 区 域 的 局 域 网 LAN 互联 起 来 ,形成 一 个 较 大 的 私有 广域网 (WAN)。 
图 11. 10 所 示 为 利用 路 由 器 和 租用 线路 将 两 个 LAN 互联 的 例子 。 
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图 11.10 利用 路 由 器 和 租用 专线 将 两 个 LAN 连接 构成 一 个 私有 WAN 


@ 利用 混合 线路 互 连 的 私有 广域网 络 : 很 多 单位 有 相距 较 远 的 若干 局 域 网 ,一 方面 要 
进行 跨 局 域 网 的 单位 内 部 的 数据 传输 和 交换 ,但 同时 还 要 求 能 够 通过 全 球 互联 网 访问 其 他 
单位 的 网 络 , 一 种 解决 方案 是 采用 混合 网 络 结构 互联 。 混合 网 络 结构 可 以 让 单位 具有 自己 
的 私有 互联 网 络 ,同时 还 可 以 访问 全 球 互 联网 。 单 位 内 部 的 数据 可 以 通过 私有 互联 网 传输 ， 
不 同 单位 之 间 的 数据 可 以 通过 全 球 互联 网 传输 。 如 图 11. 11 所 示 ,单位 的 两 个 工作 区 域 
LAN 的 互联 通过 R3、 租 用 线路 及 R4 连接 ,同时 还 通过 R1、 全 球 互联 网 及 R2 将 两 个 LAN 
远程 相连 。R1 和 R2 对 外 接口 使 用 公 网 IP 地 址 ,从 局 域 网 内 向 外 发 送 的 目的 地 址 是 另 一 
个 内 网 主机 的 IP 包 通 过 路 由 器 R3 和 R4 专线 转发 ,目的 地 址 是 外 网 地 址 的 IP 包 通 过 路 由 
器 R1 和 R2 转发 。 


图 11.11 混合 网 络 的 结构 


@ 利用 虚拟 线路 互联 的 私有 广域网 络 : 上 述 租 用 专线 进行 私有 网 络 远程 互联 的 缺点 
是 建 网 成 本 较 高 ,这 样 的 私有 广域网 的 组 建 运 维 成 本 是 较 昂贵 的 ,租用 线路 每 月 的 租金 是 不 
小 的 数目 。 一 种 解决 方案 是 对 单位 的 远程 局 域 网 之 间 的 互联 采用 “虚拟 私有 网 络 ” 技 术 , 它 

“387 “= 


可 以 利用 全 球 互联 网 来 进行 私有 网 络 之 间 的 连接 ,并 解决 私 网 内 与 公 网 的 通信 。 
VPN 可 以 实现 单位 内 部 网 络 信息 的 保密 ,但 是 在 物理 信道 上 使 用 了 全 球 互联 网 。 
图 11. 12 是 VPN 的 结构 示意 ,其 中 Rl 和 R2 是 VPN 路 由 器 。 


图 11.12 虚拟 私有 网 络 的 结构 


3. 在 OSI 网 络 模型 各 层 实现 VPN 的 技术 

我 们 可 以 将 虚拟 私有 网 络 的 定义 解释 为 : 将 私有 网 络 内 的 IP 包 加 密 或 封装 后 ,通过 公 
共通 信 网 络 的 虚拟 信道 传输 ,到 达 远 端 私 有 网 络 后 再 解密 接 人 ,以 此 实现 私有 网 络 的 远程 互 
联 , 以 及 个 人 计算 机 通过 公 网 远程 接 人 私有 网 络 。 在 表 11. 4 中 列 出 了 在 TCP/IP 协议 族 基 
础 上 增加 的 各 种 安全 协议 及 其 应 用 ,利用 这 些 位 于 不 同 层次 的 安全 协议 可 构建 在 OSI 模型 
不 同 层级 上 的 VPN ,它们 有 不 同 的 技术 特点 .性 价 比 和 应 用 领域 。 以 下 对 网 络 模型 中 不 同 
层级 的 VPN 技术 作 简 要 介绍 。 

(1) 在 数据 链 路 层 实现 VPN 的 技术 

在 图 11. 10 中 租用 物理 专线 进行 局 域 网 远程 互联 是 很 昂贵 的 ,一 种 方案 是 租用 电信 
SDH 系统 的 逻辑 信道 来 构建 数据 链 路 层 的 VPN。 将 内 网 的 IP 包 封 装 到 数据 链 路 层 的 数 
据 帧 中 进行 远程 安全 传输 的 技术 如 下 : 

@ 利用 点 对 点 协议 (Point to Point Protocol,PPP) 构 建 VPN( 参 看 第 2 章 的 介绍 ) 。 将 
IP 包 封装 到 PPP 协议 帧 中 以 后 有 几 种 不 同 的 传输 方法 : 方法 1 是 将 PPP 帧 通过 调制 解 调 
器 或 ADSL 进行 远程 传输 , 接 和 人 电信 公司 的 网 络 , 此 方法 常用 于 家 庭 或 小 公司 用 户 的 远程 
拨号 VPN 接 人 。 方 法 2 是 将 封装 了 IP 包 的 PPP 帧 通过 SDH 光纤 同步 数据 通信 网 的 高 速 
逻辑 信道 进行 远程 传输 ,实现 远程 私有 局 域 网 的 互联 ,此 方法 常用 于 大 中 型 企业 网 络 中 各 远 
程 部 门 局 域 网 的 互联 。 方 法 3 是 将 封装 了 IP 包 的 PPP 帧 再 封装 和 以太 帧 中 ,利用 以 太 网 
传输 , 称 为 PPPoE ,可 实现 对 用 户 的 3A 认证 和 流量 管理 。 

@ 利用 点 对 点 隧道 协议 (Point to Point Tunneling Protocol, PPTP) 构 建 VPN( 参 看 
图 11.10)。 在 连接 两 个 局 域 网 的 路 由 器 或 网 关中 ,将 局 域 网 中 的 以 太 帧 或 IP 包 取出 并 用 
对 称 密 钥 加 密 (DES 或 3DES) ,然后 封装 到 PPTP 帧 中 ,再 将 此 PPTP 帧 通过 SDH 光纤 同 
步 数据 通信 网 的 高 速 逻 辑 信道 进行 远程 点 对 点 传输 ,实现 两 个 远程 私有 网 络 的 互联 ,此 方法 
常用 于 各 大 单位 局 域 网 的 高 速 远程 互联 。 

@ 利用 二 层 转发 协议 (Layer 2 Forwarding,L2F) 或 综合 PPTP 及 L2F 的 协议 (Layer 2 
Tunneling Protocol,L2TP) 构 建 的 VPN。 原 理 同 上 ,也 是 将 局 域 网 中 的 以 太 帧 或 IP 包 封 
装 到 L2F 或 加 密 后 封装 到 L2TP 帧 中 ,进行 局 域 网 之 间 的 远程 的 高 速 数据 通道 互联 。 

在 数据 链 路 层 实 现 VPN 的 优点 是 : 局 域 网 之 间 的 互 连 租用 电信 网 络 的 固定 速率 的 虚 
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拟 信道 ,可 靠 性 高 。 缺 点 是 : 独家 租用 专用 固定 信道 的 利用 率 较 低 , 信 道 的 速率 固定 ,不 能 
适应 计算 机 网 络 数据 流量 的 动态 变化 ,信道 租用 费 较 高 ,参见 图 2. 24。 
表 11.4 互联 网 各 层 中 的 安全 协议 简介 


层 安全 协议 内 容 
Secure-Hyper Text Transfer Protocol。 为 保证 WWW 的 安全 , 由 EIT 
Si (Enterprise Integration Technology Corp. ) 开 发 的 协议 ,该 协议 利用 MIME, 基 
- 于 文本 进行 加 密 、 报 文 验证 和 密 钥 分 发 等 。 参 看 RFC 2660。 注 意 , S-HTTP 
与 HTTPS 不 同 
SSH Secure Shell 对 BSD 系列 的 UNIX 的 rsh/rlogin 等 的 r 命令 加 密 而 采用 的 技术 
ST WY 。 | 用 SSL 安全 套 接 层 技术 分 别 对 https, 简 单 电子 邮件 ,邮局 协议 版 本 3 等 应 用 
sSL-POP3 | 进行 加 密 
应 用 层 二 Privacy Enhanced Telnet 由 富士 通 和 WDIE 开发 ,用 于 使 Telnet 具有 加 密 功 
能 ,在 远程 登录 时 对 连接 本 身 进行 加 密 的 方式 
PEM Privacy Enhanced Mail 由 IEEE 标准 化 的 具有 加 密 签名 功能 的 邮件 系统 , RFC 
1421~1424 
S/MIME 安全 多 功能 电子 邮件 扩展 ,利用 RSA Data Security 公司 提出 的 PKCS 公 钥 加 
- 密 标准 的 加 密 技术 实现 的 MIME 的 安全 功能 ,RFC 2311 一 2315 
Pretty Good Privacy 由 Phillip Zimmermann 开发 的 带 加 密 及 签名 功能 的 电子 
PGP 邮件 系统 ,PGP 也 可 独立 地 用 于 电子 办 公 中 的 文件 加 密 、 完 整 性 验证 和 信 源 
ssI Secure Sockets Layer 用 于 在 Web 服务 器 与 浏览 器 之 间 进行 加 密 、 报 文 的 完整 
会 话 可 性 验证 ,数字 签名 会话 密 钥 分 配 的 加 密 协 议 
层 / 传 i Transport Layer Security (IEEE 标准 RFC 2246) ,是 将 SSL 通用 化 和 改进 后 
输 层 的 协议 
SOCKS v5 防火 墙 及 VPN 用 的 数据 加 密 及 验证 协议 ,IEEE RFC 1928( 以 NEC 为 主 开发 ) 
、 JP Security Protocol (IETF 标准 ) 以 IPSec 通信 时 ,与 通信 对 象 的 密 钥 交换 方 
络 层 
We | er 式 使 用 IKE(Internet Key Exchange) 
Pr Point to Point Tunneling Protocol 点 对 点 隧道 协议 
数据 链 L2F Layer 2 Forwarding 二 层 转发 协议 
路 层 L2TP Layer 2 Tunneling Protocol 综合 了 PPTP 及 L2F 的 协议 
Ethernet, WAN 
加 密 设备 


(2) 在 互联 网 层 实现 虚拟 专 网 的 技术 IPSec-VPN 

从 表 11.2 可 看 出 ,利用 网 络 层 的 IPSec 协议 的 隧道 模式 可 以 通过 互联 网 将 两 个 远程 局 
域 网 互联 而 实现 VPN。IPSec-VPN 使 用 了 IPSec 的 隧道 模式 ,将 两 个 私有 网 络 内 部 的 IP 
包 加 密 后 封装 到 公 网 的 IP 包 中 ,通过 公共 互联 网 传输 ,可 实现 身份 认证 ,数据 完整 性 检测 和 
隐私 保密 。 在 局 域 网 A 和 局 域 网 B 之 间 传 输 的 内 网 IP 包 使 用 的 是 私有 网 络 地 址 ,这 些 私 
网 的 了 P 包 通过 VPN 路 由 器 R1 和 R2 在 互联 网 上 加 和 密 传输 时 ,被 封装 到 在 公共 互联 网 传输 
的 IP 包 中 , 公 网 的 IP 包 使 用 全 球 IP 地址 。 因 此 IPSec-VPN 中 需要 使 用 两 组 IP 地 址 : 公 
网 地 址 和 私 网 地 址 。 互 联网 上 的 窃听 者 不 能 从 公 网 IP 包头 部 中 获取 内 网 的 IP 地 址 等 信息 
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(参看 图 11. 6)。 

IPSec-VPN 在 互联 网 层 实现 局 域 网 远程 互 连 的 优点 是 : 不 需要 租用 专用 的 固定 速率 信 
道 ,只 要 将 路 由 器 接 入 互联 网 公共 信道 即 可 ,信道 利用 率 较 高 ,互联 接 入 的 运 维 费用 较 低 。 
缺点 是 : 两 个 路 由 器 的 互联 网 接口 端 必须 设置 固定 的 公 网 IP 地 址 ,需要 对 安全 参数 组 中 的 
密 钥 生成 和 分 发 管理 等 进行 专门 的 维护 ,通信 双方 需要 安装 专用 的 软件 或 硬件 设备 。 

(3) 在 传输 层 实现 虚拟 专 网 的 技术 SSL/TLS-VPN 

在 下 节 将 要 讨论 的 安全 套 接 层 协议 SSL/TLS 可 用 于 构建 广域网 上 的 VPN, 目前 已 广 
泛 应 用 于 基于 客户 端 / 服 务 器 结构 的 网 络 电子 银行 .电子 商务 .远程 网 络 办 公 等 领域 。 
SSLVTLS-VPN 的 优点 是 在 信息 加 密 、 身 份 认证 、 完 整 性 校 验 和 密 钥 管 理 等 方面 具有 很 高 的 
安全 性 ;主流 的 浏览 器 和 Web 服务 器 都 支持 SSL/TLS 协议 ,用户 不 需要 安装 任何 额外 的 
软件 和 硬件 ,使 用 方便 ,成 本 低廉 ,因此 得 到 广泛 的 普及 和 应 用 。 


11.2 传输 层 安全 协议 


安全 套 接 层 协 议和 传输 层 安全 协议 是 近年 来 广泛 使 用 的 主要 用 于 客户 端 /服务 器 结构 
的 互联 网 安全 通信 技术 , 它 采 用 对 称 密 钥 加 密 算 法 和 认证 技术 在 互联 网 上 构成 一 种 基于 传 
输 层 安全 的 VPN。SSL/TLS-VPN 是 互联 网 上 解决 用 户 访问 服务 器 敏感 数据 的 最 方便 最 
安全 的 技术 。 与 复杂 和 昂贵 的 IPSec-VPN 相 比 ,SSL/TLS-VPN 通过 简单 易 用 的 方法 实现 
信息 的 安全 传输 。SSL/TLS 协议 已 内 艇 在 主流 的 服务 器 和 浏览 器 中 ,任何 安装 了 浏览 器 的 
网 络 主机 都 可 以 使 用 SSLVTLS-VPN , 它 不 需要 像 IPSec-VPN 那样 为 每 台 客户 机 安装 客户 
端 软件 。 利 用 SSL/TLS 进行 互联 网 安全 通信 时 ,服务 器 的 传输 层 端口 号 为 https(443) ,而 
客户 端 使 用 临时 端口 号 。 

SSL/TLS 协议 使 用 X. 509 证 书 进行 用 户 和 服务 器 的 身份 认证 ,使 用 对 称 加 密 算法 对 
传送 的 信息 进行 加 密 和 封装 ,使 用 MAC 报 文 认 证 码 确 保 信 息 在 传输 过 程 中 的 完整 性 ,可 以 
为 通信 的 双方 提供 较 高 的 安全 保证 。SSL/TLS 协议 自 诞生 以 来 ,经 受过 多 种 形式 的 攻击 ， 
不 断 改 进 完善 ,最 终 发 展 成 为 目前 最 为 成 功 的 一 个 实用 安全 协议 。 已 广泛 使 用 与 网 络 电子 
银行 ,电子 商务 、VolP 互联 网 电话 、 即 时 通信 和 网 络 办 公 系 统 中 。 

位 于 传输 层 TCP 与 应 用 层 之 间 的 SSL/TLS 协议 对 应 用 层 数据 提供 端 对 端 (End-To- 
End) 的 安全 传输 服务 。 例 如 , 当 一 个 用 户 进 行 网 络 购物 (网 络 办 公 或 访问 网 络 银 行 ) 时 , 需 
要 以 下 的 安全 服务 : 

(1) 用 户 需 要 确认 自己 所 访问 的 服务 器 是 否 是 真正 的 贸易 商 或 银行 的 ,而 不 是 一 个 冒 
名 顶替 的 实施 诈骗 的 钓鱼 网 站 。 用 户 不 希望 自己 的 信用 卡 账 号 被 冒名 顶 蔡 者 获得 ,因此 需 
要 对 网 站 进行 身份 认证 。 

(2) 用 户 和 贸易 商都 不 希望 在 进行 电子 商务 交易 时 网 络 传输 的 信息 被 自 改 , 需 对 报 文 
的 完整 性 验证 。 

(3) 用 户 和 贸易 商都 不 希望 机 密 信息 ,例如 ,信用 卡号 、 密 码 、 购 货 合 同等 ,被 任何 第 三 
方 网 络 窃听 者 获取 , 即 对 信息 进行 高 强度 的 加 密 传输 。 

图 11. 3(b) 为 SSL/TLS 协议 在 互联 网 协议 模型 中 的 位 置 , 介 于 应 用 层 和 传输 层 之 间 ， 
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属于 OSI 开放 系统 互联 七 层 参考 模型 中 的 会 话 层 。SSLVTLS 协议 的 组 成 结构 如 图 11. 13 
所 示 , 分 为 上 下 两 层 ,位 于 下 层 的 子 协议 是 记录 协议 (Record Layer) ,负责 对 来 自 上 层 的 数 
据 提供 分 段 、 压 缩 和 加 密 等 安全 服务 。 位 于 上 层 的 3 个 子 协 议 是 握手 协议 (Handshake 
Protocol) 改变 密码 参数 协议 (Change Cipher Spec Protocol) .告警 协议 (Alert Protocol)， 
用 于 在 加 密 传输 应 用 层 数据 前 ,实现 对 客户 端 / 服 务 器 之 间 的 身份 认证 .协商 加 密 方案 .交换 
对 称 密 铀 和 出 错 报警 等 。 


握手 协议 | 改变 密码 参数 组 协议 | 告警 协议 | | 应 用 层 HTTPS 竺 
SSL/TLS 包 含 T T Te 
We 记录 层 协议 
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图 11.13 SSL/TLS 协议 的 构成 及 其 在 TCP/IP 互联 网 模型 中 的 位 置 


11.2.1 SSL/TLS 中 4 个 子 协议 的 功能 


SSL/TLS 协议 的 运行 过 程 是 : 第 一 步 运行 握手 协议 ,IE 浏览 器 首先 启用 https 协议 与 
服务 器 443 端口 建立 连接 ,进行 双方 或 单方 的 身份 认证 ,并 协商 选 定 本 次 通信 采用 的 “加 密 
方案 组 ”; 第 二 步 运行 改变 密码 参数 组 协议 ,双方 互相 通告 启用 刚 协商 约定 的 加 密 方案 ,并 生 
成 一 次 性 使 用 的 会 话 密 钥 等 ;第 三 步 利 用 加 密 方案 组 产生 的 会 话 密 钥 对 应 用 层 数 据 进 行 加 
密 传输 ,如 果 在 加 密 通 信 的 过 程 中 出 现 问题 , 则 启用 告警 协议 进行 处 理 。 

1. SSL/TLS 的 关键 技术 

在 前 面 IPSec 的 讨论 中 ,进行 数据 安全 通信 之 前 ,安全 关联 组 (Security Association， 
SA) 的 成 员 之 间 需 要 先 通 过 协商 为 本 次 通信 预约 一 组 安全 参数 。SSL 也 有 同样 的 目标 ,但 
是 采用 的 技术 方案 不 同 。SSL 不 采用 安全 关联 组 SA 方法 ,而 是 协商 约定 加 密 方 案 组 
(cipher suite) ,以 及 生成 会 话 密 钥 来 构成 加 密 安全 参数 。 

(1) 客户 /服务 器 在 握手 期 间 要 协商 约定 本 次 会 话 采 用 的 加 密 方案 组 

加 密 方案 组 中 包含 协议 类 型 . 密 钥 交换 算法 、 对 称 密 钥 算法 .hash 算法 的 名 称 。 在 实施 
握手 协议 时 ,客户 机 与 服务 器 协商 选用 一 组 加 密 方案 。 加 密 方案 组 的 表达 式 是 : 协议 _ 密 钥 
交换 算法 _WITH_ 对 称 密 钥 加 密 法 _Hash 算法 。 

例如 Cipher Suite: SSL_DHE_RSA_WITH_DES_CBC_SHA 

此 加 密 方 案 组 的 含义 是 : 四 本 次 通信 采用 SSL 协议 。 回 生成 会 话 密 钥 的 方法 是 
DHE_RSA ,即使 用 RSA 签名 的 Differ-Hellman 对 称 密 钥 交换 算法 ,注意 ,DH 表示 固定 的 
Differ-Hellman 算法 , DHS 表示 临时 的 Differ-Hellman 算法 ,而 DH-anon 表示 匿名 的 
Differ-Hellman 算法 。DH 的 原理 见 第 10 章 的 介绍 。 加 对 应 用 层 数据 加 密 的 方法 是 
DES_CBC.@ 采 用 SHA 作为 产生 报 文摘 要 的 完整 性 验证 算法 。 

每 组 加 密 方案 是 上 述 技术 的 固定 的 搭配 组 合 , 常 用 的 SSL/TLS 加 密 方案 约 有 二 十 多 
组 。 在 运行 握手 协议 时 ,客户 端 首先 将 自己 能 支持 运行 的 11 组 加 密 方案 清单 发 给 服务 器 ， 
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供 服务 器 选择 。 例 如 ,客户 端 发 给 服务 器 的 部 分 加 密 方案 组 清单 如 下 : 


Cipher Suite:SSL DH RSA WITH 3DES EDE CBC SHA 

Cipher Suite:SSL DH anon WITH 3DES EDE CBC SHA 

Cipher Suite:SSL RSA WITH IDEA CBC SHA 

Cipher Suite:TLs RSA WITH RC4 128 MD5 

Cipher suite:TLS RSA WITH RC4 128 SHA 

Cipher Suite: TLS RSA EXPORT WITH RC2 CBC 40 MD5 

服务 器 收 到 客户 机 可 支持 的 11 组 加 密 方案 的 清单 后 ,从 中 选 定 一 组 作为 本 次 加 密 通 信 
的 技术 ,并 将 选择 结果 回 告 客户 端 , 双 方 达成 一 致 。 

(2) 如 何 产 生 仅 用 于 本 次 加 密 通信 的 6 个 秘密 值 (Cryptographic Secrets) 

为 了 实施 上 述 协 商 选 定 的 一 组 加 密 方案 ,SSL 需要 在 客户 机 /服务 器 中 产生 6 个 秘密 值 
作为 本 次 加 密 通信 的 会 话 密 钥 : 4 个 对 称 密 钥 和 2 个 初始 矢量 IV。 关 于 SHA-1 的 初始 矢 
量 用 途 参看 第 10 章 图 10. 18。 

产生 这 6 个 秘密 值 的 过 程 如 图 11. 14 所 示 。 在 客户 端 需要 有 一 个 对 称 密 钥 作为 身份 认 
证 ,一 个 对 称 密 钥 对 报 文 加 密 ,一 个 初始 矢量 作为 数据 块 完 整 性 检测 。 在 服务 器 端 也 与 此 相 
同 。SSL 使 用 两 个 不 同 的 对 称 密 钥 分 别 对 客户 机 与 服务 器 之 间 传 输 的 双向 数据 加 密 , 这 样 
做 的 好 处 是 如 果 一 个 方向 传输 的 加 密 数 据 被 黑客 破译 了 , 另 一 个 方向 的 加 密 数 据 因 密 钥 不 
同 而 不 会 受 影响 。 而 在 TLS 协议 中 做 了 简化 ,客户 机 与 服务 器 的 双向 通信 数据 使 用 相同 的 
对 称 密 钥 加 密 。 这 6 个 秘密 值 的 产生 是 通过 一 个 谈判 协议 (Negotiation Protocol) 产生 的 
(参看 图 11. 14) ,过 程 简 述 如 下 : 


密 钥 交 换 握手 
J L 
1 1 1 
客户 [ 随机 数 预 置 主 秘密 随机 数 | 服务 器 
| 
客户 认证 密 铀 。。 上 合用 SHA-! 和 MD5 的 复杂 算法 | 一 一 加 入 一 些 常数 
I 服务 器 认证 密 铀 1 
亚 客户 加 密 密 铀 主 秘密 
V 客 户 初 训 一 此 党 
人 A 加 入 一 些 常数 
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图 11.14 在 SSL 的 握手 协议 中 产生 6 个 密码 秘密 的 过 程 


@ 客户 机 和 服务 器 分 别 产生 两 个 28 字 节 长 的 随机 数 ,并 发 给 对 方 。 

@ 客户 机 与 服务 器 利用 一 个 密 钥 交换 算法 来 交换 一 个 预 置 主 秘密 (Pre-master 
Secret) ,例如 ,采用 第 10 章 图 10. 14 介绍 的 Differ-Hellman 算法 ,在 客户 机 /服务 器 中 分 别 
产生 一 个 相同 的 预 置 主 秘密 。 

@ 从 预 置 主 秘密 中 ,应 用 hash 算法 (SHA-1 或 MD5) 来 产生 一 个 48B 的 主 秘密 
(Master Secret) 。 关 于 SHA-1 以 及 加 入 常数 作为 初始 矢量 的 介绍 参看 图 10. 18 。 

@ 利用 同样 的 hash 算法 ,用 主 秘密 来 产生 不 同 长 度 的 秘密 值 ,并 在 前 面 加 上 不 同 的 常 
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数 。 最 后 生成 了 仅 用 于 本 次 SSL 会 话 的 6 个 秘密 值 : 客户 认证 密 钥 .服务 器 认证 密 钥 .客户 
加 密 密 钥 .服务 器 加 密 密 钥 .客户 端的 初始 矢量 .服务 器 端的 初始 矢量 。 注 意 , 这 6 个 秘密 值 
并 没有 通过 网 络 传输 ,是 在 执行 握手 协议 时 分 别 在 客户 机 和 服务 器 中 产生 的 , 见 图 11. 14 中 
的 说 明 。 

2. SSL/TLS 加 密 通 信和 分 为 会 话 与 连接 两 种 状态 

SSL/TLS 的 加 密 通信 分 为 会 话 (Session) 和 连接 (Connection) 两 种 状态 。JIP 协议 与 
TCP 协议 的 不 同 之 处 在 于 : IP 是 面向 无 连接 的 通信 协议 ,而 TCP 是 面向 连接 的 通信 协议 。 
虽然 TCP 已 经 是 面向 连接 的 ,但 是 它 上 层 的 SSL/TLS 需要 进行 会 话 与 连接 两 个 级 别 的 连 
接 。 两 个 主机 之 间 建 立 的 会 话 是 一 个 长 期 存在 的 安全 数据 通信 联盟 ,而 在 一 个 会 话 期 间 , 连 
接 可 以 被 建立 和 中 断 若 干 次 (例如 ,在 较 长 的 SSL/TLS 保密 通信 会 话 中 ,可 能 要 分 为 若干 
次 连接 ) 。 

SSL/TLS 通信 的 加 密 方案 组 和 主 密 钥 是 在 通信 双方 建立 会 话 的 时 候选 定 和 产生 的 ,并 
且 在 整个 会 话 期 间 都 有 效 。 但 是 在 同一 个 会 话 中 的 每 次 重启 连接 时 ,必须 重新 生成 
图 11.14 中 的 6 个 秘密 数值 ,以 增强 其 安全 性 。 

3. SSL/TLS 的 4 个 子 协议 

前 面 讨论 了 SSL 的 基本 概念 ,但 没有 介绍 SSL 是 如 何 执行 任务 的 。 如 图 11. 13 所 示 ， 
SSL 协议 内 分 为 两 个 层 ,包含 4 个 子 协议 : 握手 协议 ,改变 密码 参数 协议 .报警 协议 .记录 协 
议 。 简 介 如 下 : 

(1) 握手 协议 (Handshake Protocol) : SSL 通信 的 第 一 阶段 是 由 客户 机 启用 握手 协议 
与 服务 器 进行 身份 认证 。SSLVTLS 握手 期 间 的 身份 认证 分 为 两 种 : 第 一 种 是 “简单 身份 认 
证 ”, 仅 要 求 服务 器 将 自己 的 X. 509 数字 证 书 发 给 客户 机 表明 自己 的 身份 ,而 客户 机 仅 使 用 
简单 的 用 户 名 和 口令 认证 ,对 于 普通 用 户 较 方 便 。 第 二 种 是 “相互 身份 认证 ”, 客 户 机 和 服务 
器 双方 都 要 具有 X. 509 数字 证 书 , 并 相互 交换 进行 高 可 靠 的 双向 身份 认证 。 双 方 都 通过 了 
身份 认证 后 ,协商 选 定 本 次 会 话 采 用 的 加 密 方案 组 ,并 产生 6 个 秘密 值 。 

(2) 改变 密码 参数 协议 (Change Cipher Spec Protocol) : SSL 通信 的 第 二 阶段 使 用 “ 改 
变 密 码 参数 协议 ”双方 确认 新 产生 的 6 个 秘密 值 已 经 就 绪 。 在 执行 握手 协议 的 时 候 , 双 方 选 
定 了 加 密 方 案 组 ,并 由 此 生成 了 6 个 秘密 值 。SSL 规定 ,通信 的 双方 要 分 别 发 送 和 接收 到 一 
个 对 方 的 “改变 密码 参数 ? 报 文 后 , 才 可 以 启用 这 些 新 生成 的 参数 和 密 钥 。 秘 密 值 是 在 执行 
握手 协议 的 时 候 交 换 和 产生 的 ,然后 在 改变 密码 参数 协议 的 执行 过 程 中 确定 并 启用 。 在 交 
换 任何 “改变 密码 参数 ” 报 文 之 前 , 包 中 只 有 未 决 字段 (Pending Columns) 中 有 数值 。 

(3) 报警 协议 (alert protocol): SSL 使 用 报警 协议 来 向 对 方 报告 错误 和 异常 情况 。 它 
只 有 一 个 报警 报 文 类 型 ,其 中 描述 了 报警 的 问题 ,以 及 警报 级 别 (警告 级 别 , 或 致命 级 别 ) 。 
在 正常 的 握手 和 加 密 应 用 层 数 据 交换 的 时 候 不 会 发 送 报 警 信息 。 但 是 ,如 果 在 从 握手 开始 
到 会 话 结束 之 间 的 任何 时 候 发 生 了 错误 ,就 发 送 报警 报 文 。 如 果 是 致命 的 错误 ,发 送 此 报警 
记录 后 会 话 立 即 终止 。 如 果 报 警 级 别 只 是 警告 ,通信 对 方 若 认为 本 次 会 话 的 安全 性 不 能 满 
足 要 求 可 以 决定 结束 会 话 。 

(4) 记录 层 协议 (Record Layer Protocol): 负责 处 理 上 层 传 下 来 的 报 文 ( 见 图 11. 13) 。 
它 将 应 用 层 报 文 进行 分 段 ,并 且 压 缩 ( 可 选 )。 使 用 协商 得 到 的 hash 算法 从 压缩 的 报 文中 生 
成 报 文 认 证 码 MAC。 然 后 使 用 协商 得 到 的 加 密 算 法 将 压缩 的 分 段 和 MAC 加密, 再 加 上 
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SSL 的 头 部 ,然后 发 送 给 下 层 的 TCP 协议 


East 进行 封装 传输 。 

分 自 如 图 11. 15 所 示 ,在 发 送 端 SSLv3 的 
了 如 记录 协议 层 收 到 来 自 应 用 层 的 数据 后 ,进行 
| 如 下 处 理 : 

被 压缩 数据 [一 一 | Hash 运算 ~ 一 一 认证 密 钥 a 将 应 用 层 数 据 分 段 (Fragmentation): 
| 人 SSL 将 应 用 层 数据 分 为 不 超过 2* 字 节 长 的 
被 压缩 数据 MAC MAC 长 0，16 或 20B 数据 段 。 
本 人 @ 压缩 : 客户 与 服务 器 协商 ,采用 某 种 
i 无 损 压 缩 技术 将 每 个 数据 段 进行 压缩 。 此 
步骤 为 可 选项 。 
头 部 | ”SSL 截 茶 @ 报 文 的 完整 性 校 验 码 : SSL 使 用 一 


个 认证 密 文 下 hash 中 答 ' 
图 11.15 SSL 发 送 端的 记录 层 协议 运行 过 程 napah pee tl et 
(接收 端 与 此 相反 ) 这 

@ 加 密 : SSL 使 用 会 话 密 钥 (对 称 加 密 密 钥 ) 将 报 文 数据 和 MAC 进行 加 密 。 

@ 构成 帧 : 在 加 密 后 的 数据 前 加 入 一 个 SSL/TLS 头 部 ,然后 封装 到 下 面 TCP 协议 包 
中 进行 传输 。 

在 接收 端的 解密 和 校 验 处 理 过 程 与 发 送 端的 上 述 过 程 相反 。 在 上 述 发 送 过 程 中 所 需要 
的 各 种 对 称 密 钥 、 加 密 算法 的 选择 等 参数 ,由 SSLv3 中 的 握手 协议 产生 。 


11.2.2 传输 层 安全 协议 TLS 与 SSL 和 HTTPS 的 关系 


1. SSL/TLS 协议 的 各 种 版 本 

(1) SSL 的 版 本 1.0、2.0 和 3.0: SSL 协议 由 Netscape 研发 ,V1.0 的 版 本 未 公布 ， 
V2.0 的 版 本 于 1995 年 2 月 发 布 ,但 是 由 于 发 现 其 中 有 不 少 安全 漏洞 ,继而 于 1996 年 公 
3 V3:0: 

(2) TLS 1.0 (SSL 3. 1): 1999 年 公布 的 互联 网 官方 文件 RFC 2246 (Request for 
Comment) 描 述 了 作为 SSLv3. 0 的 升级 版 的 TLS1.0, 它 与 SSLv3.0 的 差别 不 大 ,可 称 为 
SSLv3. 1 , 它 与 SSLv3.0 向 下 兼容 。 

(3) TLS 1.1 (SSL 3.2): 2006 年 4 月 公布 的 互联 网 官方 文件 RFC 4346 定义 了 版 本 
TLS1.1(SSL 3.2) , 它 与 前 面 版 本 的 主要 改进 是 : 四 增加 了 对 抗 CBC 密码 块 链 攻击 (Cipher 
Block Chaining Attacks) 的 保护 ,在 SHA 完整 性 验证 中 用 明确 的 IV 初始 矢量 代替 了 隐 含 
的 初始 矢量 IV。 改 变 了 对 填充 错误 的 处 理 。 回 支持 参数 的 IANA (Internet Assigned 
Number Authorization) 注 册 。 

(4) TLS 1. 2 (SSL 3. 3): 2008 年 8 月 公布 的 互联 网 官方 文件 RFC 5246 中 定义 了 
TLS 1.2(SSL 3.3)。 它 与 TLS 1.1 的 主要 差别 是 : @ 原先 在 伪 随 机 数 PRF(Pseudorandom 
Function) 的 完整 性 校 验 中 使 用 MD5-SHA-1 的 组 合 ,被 SHA-256 替换 ,是 加 密 方案 组 中 
PRF 的 可 选项 。 句 原先 在 “已 结束 报 文 ”"(Finished Message) 的 Hash 中 的 MD5-SHA-1 组 
合 , 被 SHA-256 替换 ,作为 加 密 方案 组 中 Hash 的 可 选项 。 图 原先 在 数字 签名 部 分 的 Hash 
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中 使 用 的 MD5-SHA-1 组 合 ,被 蔡 换 为 握手 过 程 中 的 单一 的 Hash 协商 ,默认 使 用 SHA-1。 
@ 增 加 了 客户 机 和 服务 器 指定 它们 将 接受 的 Hash 和 签名 算法 的 种 类 。@ 扩 展 了 对 已 认证 
的 加 密 算法 的 支持 ,主要 用 于 GCM(Galois/Counter Mode) 和 AES 加 密 算法 中 的 CCM 模 
式 的 加 密 算法 。@TLS 在 加 密 方 案 组 中 增加 了 对 AES 加 密 标准 的 支持 。@ 在 记录 协议 中 
TLS 使 用 HMAC 来 取代 SSL 中 的 报 文 认证 码 MAC。 

2. TLS 技术 的 应 用 与 发 展 

TLS 运行 于 传输 层 的 各 种 协议 之 上 ,可 将 应 用 层 协议 数据 封装 加 密 传输 ,包括 HTTP、 
FTP 、SMTP 网络 新 闻 传 输 协 议 (Network News Transfer Protocol, NNTP) 和 可 扩展 的 消 
息 与 存在 协议 (Extensible Messaging and Presence Protocol,XMPP) 。 早 期 主要 与 可 靠 的 
传输 层 协议 TCP 结合 使 用 ,但 是 现在 已 经 与 基于 数据 报 的 传输 层 协议 UDP 和 DCCP( 数 据 
报 拥 塞 控制 协议 ) 结 合 使 用 ,已 经 为 此 专门 制定 的 技术 标准 用 DTLS(Datagram Transport 
Layer Security) 数 据 报 传输 层 安 全 表示 。 

TLS 的 一 个 广泛 应 用 是 将 HTTP 协议 传输 的 WWW 数据 ,加 密 为 安全 的 HTTPS 数 
据 传 输 ,广泛 用 于 安全 电子 商务 ,移动 资产 管理 (Mobile Asset Management) .SMTP 电子 邮 
件 系统 等 。 这 些 应 用 中 都 使 用 了 公 钥 数字 证 书 来 实现 对 各 通信 方 的 身份 认证 。 

TLS 的 安全 隧道 也 能 够 用 于 构建 VPN 私有 网 络 , 例 如 OpenVPN 开放 式 的 私有 网 络 。 
现在 很 多 开发 商 还 将 TLS 的 认证 ,加 密 功能 与 授权 功能 结合 。 自 从 1990 年 代 后 期 ,在 客户 
机 /服务 器 的 应 用 中 ,已 经 在 浏览 器 功能 之 外 开发 了 大 量 的 客户 端 技 术 。 与 传统 的 基于 
IPSec 的 VPN 技术 相 比 ,TLS 技术 对 大 用 户 量 的 互联 网 远程 访问 时 ,数据 传输 穿 过 防火 墙 
和 NAT 的 管理 方面 ,具有 先天 性 的 优势 。 

TLS 在 保护 SIP(Session Initiation Protocol) 会 话 初 始 协 议 的 信 令 方面 是 一 个 标准 的 
方法 。 在 VoIP 互联 网 电话 和 基于 SIP 的 各 种 应 用 方面 .TLS 可 用 于 认证 ,实施 对 SIP 信 令 
( 见 第 2 章 ) 的 加 密 保护 。 

3, TLS 协议 软件 包 的 应 用 平台 

已 开发 了 几 个 实现 SSL/TLS 协议 的 免费 开源 软件 模块 。 程 序 员 可 直接 利用 CyaSSL， 
OpenSSL,NSS, 或 GnuTLS 等 软件 库 来 实现 SSL/TLS 功能 。 微 软 Windows 的 Secure 
Channel 软件 包 中 包含 了 SSL/TLS 协议 的 实现 。 目 前 所 有 的 浏览 器 都 支持 TLS 协议 , 具 
体 种 类 如 下 。 

(1) Apple 的 Safari 支持 TLS, 但 是 官方 未 指出 具体 的 版 本 。 支 持 TLS 1.0 的 操作 系 
统 有 Mac OS X 10.5.8, Mac OS X 10. 6.6，Windows XP., Windows Vista or Windows 7， 
Safari 5 等 。 

(2) Mozilla Firefox 的 版 本 2 以 上 支持 TLS 1.0。 至 2010 年 未 ,Firefox 还 不 支持 TLS 
hi 

(3) 微软 的 IE 浏览 器 使 用 底层 的 Windows 操作 系统 来 支持 TLS, 支 持 TLS 1.2 的 版 
本 有 Windows 7 中 的 IE8 和 Windows Server 2008 R2。Windows 7 和 Windows Server 
2008 R2 使 用 同样 的 代码 。Microsoft Windows Version 6. 1 和 Windows Vista SP1 使 用 的 
代码 与 Windows 2008 Server 相同 。 

4. 应 用 层 的 HTTPS 与 TLS 的 关系 

Netscape Communications 公司 于 1994 年 开发 了 HTTPS (Hypertext Transfer 
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Protocol Secure) 超 文本 传输 协议 安全 ,主要 用 于 Netscape Navigator 浏览 器 。 最 初 的 时 候 ， 
HTTPS 与 SSL 加 密 协 议 配合 使 用 :而 现在 主要 与 TLS 配合 使 用 。HTTPS 的 官方 描述 文 
件 是 2000 年 5 月 发 布 的 RFC 2818 。 

HTTPS 是 将 HTTP 协议 与 SSL/TLS 结合 使 用 的 应 用 层 协议 ,用 于 在 网 络 上 提供 加 
密 通 信 与 Web 客户 机 /服务 器 的 安全 身份 认证 等 。HTTPS 通常 用 于 互联 网 上 的 金融 支付 
交易 ,以 及 信息 系统 中 的 敏感 信息 的 安全 传输 。 注 意 ,不 要 将 HTTPS 与 极 少 使 用 的 
S-HTTP (Secure HTTP) 混 消 ( 见 表 11. 4)。 

严格 地 说 ,HTTPS 不 是 一 个 独立 的 协议 , 它 是 在 SSL/TLS 的 加 密 信 道 连接 上 运行 的 
普通 HTTP 协议 。 利 用 HTTP 协议 的 网 络 通信 是 明文 传输 的 ,不 安全 ,容易 受到 中 间 人 攻 
击 和 和 窃听。 而 HTTPS 由 于 有 SSL/TLS 的 加 密 支 持 , 可 以 保障 信息 的 安全 传输 。 在 浏览 
器 中 使 用 HTTP 时 ,URL 的 开头 是 “http://”, 服 务 器 的 默认 端口 为 80。 而 使 用 HTTPS 
协议 时 ,URL 的 开头 是 “https://”, 服 务 器 的 默认 端口 是 443。 

网 络 管理 员 必 须 给 Web 服务 器 获取 设置 一 个 公 角 证书 ,服务 器 才能 接受 HTTPS 的 连 
接 。 服 务 器 的 公 钥 证 书 上 必须 有 可 信任 的 CA 发 证 机 构 的 签名 ,在 大 多 数 浏览 器 中 已 经 预 
存 了 主要 CA 权威 机 构 的 证 书 与 公 钥 ,可 直接 调用 来 验证 服务 器 的 身份 , 详 见 第 10 章 。 


11.2.3 基于 单方 认证 的 TLS 安全 电子 邮件 案例 分 析 


当前 一 些 电 子 邮 件 系 统 采用 了 TLS 协议 来 实现 电子 邮件 信息 的 保密 传输 。 图 11. 16 
为 客户 端 浏览 器 采用 TLSv1 协议 访问 电子 邮件 服务 器 的 通信 过 程 (http:// mail. 163. com. 
cn) 。 此 类 安全 电子 邮件 的 通信 过 程 可 分 为 图 中 9 个 步骤 。 此 案例 的 握手 中 采用 “简单 身份 
认证 ”, 即 客户 端的 身份 验证 采用 常规 的 访问 Web 服务 器 的 用 户 名 和 口令 认证 方法 ,而 服务 
器 的 身份 验证 采用 X. 509 证 书 。 用 户 名 .口令 以 及 邮件 内 容 等 都 被 加 密 传输 。 


心 电子 邮件 客户 Mail.163.com 电 子 邮 件 
浏览 器 服务 器 SSL /TLS https 
临时 端口 |。 @ 浏 览 器 /服务 器 双方 通过 三 次 握手 建立 TCP 和 连接 端口 443 
@)Client Hello 报 文 
|, @Sever Hello 报 文 
@ 客 户 机 密 钥 交换 ， 改 变 密 码 参 数 ， 加 密 的 握手 报 文 | 
L 回 服务 器 ， 改 变 密码 参数 协议 ， 加 密 后 的 握手 报 文 
@ 客 户 端 用 刚 生成 的 会 话 密 钥 加 密 的 邮件 报 文 
@ 服 务 器 发 送 用 会 话 密 钥 加 密 的 邮件 报 文 
_ @@ 加 密语 的 报警 报 文 
|L@ 客 户 端 /服务 器 相互 交换 一 个 FIN 报 文 结束 加 密 通信 | 
1 1 


图 11.16 基于 TLS 1.0 的 安全 电子 邮件 系统 中 客户 机 /服务 器 的 通信 过 程 


一 | 


| 


图 11. 17 为 用 Wireshark 捕获 的 网 络 数据 包 。 客 户 机 IP 地 址 192. 168. 0. 129 ,端口 号 
fiorano-msgsvc(1856) 。 邮 件 服 务 器 IP 地 址 220. 181. 75. 6 ,端口 号 https(443) 。 图 中 每 个 
步骤 传输 的 主要 内 容 如 下 : 

@ 第 62 号 包 : 客户 机 浏览 器 采用 临时 端口 号 1856 ,向 服务 器 的 https 端口 443 发 送 

， 366 。 


| Destination Protocol Info 

TCP fiorano-msgsvc > https 
TCP https > fiorano-msgsVCc 0 
TCP fiorano-msgsvc > https [ACK] seq=1 Ack=1 Win=372| 
ssL Client Hello 


6 
64 岂 
65 22 192.168. 
66 22 192.168.0. 
67 22 220.181. 
68 22 220.181. 
69 22 220.181.75. 
70 22 192.168.0. 


TCP https > fiorano-msgsvc [ACK] Seq=1 Ack=71 Win=58| 
TLSv1 Server Hello, 

TCP [TCP segment of a reassembled PDU] 

TCP fiorano-msgsvc > https [ACK] Seq=71 Ack=2905 win| 
TLSv1 Certificate, server Hello Done 

TLSv1 Client Key Exchange, Change Cipher spec, Encrypt| 
75.6 TLSv1 change Cipher spec, Encrypted Handshake Message 
0.129 睹 oye TLSv1 Application Data 


图 11.17 基于 简单 认证 的 TLS 安全 电子 邮件 通信 数据 案例 


SYN 包 , 请 求 建立 TCP 连接 。 第 64 号 包 : 服务 器 向 客户 浏览 器 返回 SYN 十 ACK 包 , 同 意 
建立 连接 。 第 65 号 包 : 浏览 器 向 服务 器 返回 ACK 包 。 至 此 双方 通过 三 次 握手 建立 了 
TCP 连接 (参看 图 5.9) 。 
@ 第 66 号 包 : 浏览 器 向 服务 器 发 送 握手 协议 的 Client Hello 报 文 ,请 求 启动 握手 进 

程 ,此 报 文中 的 主要 内 容 如 图 11. 18 所 示 ,其 中 : 协议 版 本 TLS 1.0, 客 户 端 产生 的 28 字 节 
的 随机 数 (random_bytes) ,客户 端 所 支持 的 11 种 加 密 方 案 组 的 清单 (cipher suites) ,在 记录 
层 中 对 握手 报 文 无 压缩 (Compression method: null)。 第 67 号 包 : 服务 器 向 客户 浏览 器 返 
回 ACK 确认 收 到 第 66 号 包 的 请 求 。 
Secure socket Layer 
日 TLSv1 Record Layer: Handshake Protoco1: Client Hello 

Content Type: Handshake (22) 

Version: TLS 1.0 (COx0301) 

Length: 65 


日 Handshake protoco1: client Hello 
Handshake Type: client Hello (1) 


Length: 61 
Version: TLS 1.0 (0x0301) 
BB Random 


gmt_unix_time: May 11, 2009 13:36:37.000000000 
random_bytes: 0D1030D168CB6054D40C393E9939DBA5A96285676679 
Session ID Length: 0 
Cipher Suites Length: 22 
国 Cipher Suites (11 suites) 
Compression Methods Length: 1 


国 Compression Methods (1 method) 
图 11.18 第 66 号 包 中 浏览 器 发 送 Client Hello 报 文 的 内 容 


@ 第 68 号 包 : 服务 器 向 客户 浏览 器 返回 握手 协议 的 Sever Hello 报 文 ,如 图 11. 19 所 
示 。 其 中 包含 : 服务 器 产生 的 28 字 节 随机 数 ,从 客户 端 发 来 的 11 种 加 密 方案 组 清单 中 指 
定 一 组 作为 本 次 会 话 的 加 密 方案 (TLS_RSA_WITH_RC4_ 128_ MD5) 。 


BTLSv1 Record Layer: Handshake Protoco1: Server He110 
Content Type: Handshake (22) 
Version: TLS 1.0 (Ox0301) 
Length: 42 
B Handshake Protoco1: server Hello 
Handshake Type: Server Hello (2) 


Length: 38 
Version: TLS 1.0 (0x0301) 
BB Random 


gmt_unix_time: May 11, 2009 13:36:17.000000000 

random_bytes: A8BAA214B9C8AO007A06FC7FDB2E0141F802662108E673AC6 
Session ID Length: 0 
Cipher suite: TLS_RSA WITH_RC4_128_MD5 (0x0004) 
Compression Method: null (0) 


图 11.19 第 68 号 包 是 服务 器 返回 给 浏览 器 的 Sever Hello 报 文 
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@ 第 71 号 包 : 服务 器 提供 了 3 个 X. 509 证 书 , 如 图 11. 20 所 示 ,证 书 中 包含 了 服务 器 
的 公 钥 。 但 该 公 钥 是 用 颁发 此 证 书 的 权威 认证 中 心 的 私 钥 签 名 的 。 在 浏览 器 中 事先 已 经 保 
存 了 很 多 权威 认证 中 心 的 证 书 和 公 钥 ,浏览 器 从 这 些 CA 列表 中 找到 给 服务 器 签发 证 书 的 
CA 的 公 钥 ,用 它 对 服务 器 证 书 中 公 钥 的 MAC 报 文 认证 码 解 密 ,车 解密 得 到 的 服务 器 公 钥 
的 Hash 值 与 收 到 的 公 钥 明文 的 Hash 值 相同 ,就 验证 了 此 服务 器 是 真实 的 ,而 不 是 假冒 的 
钓鱼 网 站 。 下 一 步 客户 端 用 服务 器 的 公 钥 将 信息 加 密 后 发 给 服务 器 。 最 后 一 行 : Server 
Hello Done, 表 明 服务 器 端的 握手 进程 结束 。 


ET 
TLSv1 Record Layer: Handshake Protocol: Certificate 
Content Type: Handshake (22) 
Version: TLS 1.0 (0x0301) 
Length: 3172 
Handshake Protoco1: Certificate 
Handshake Type: Certificate (11) 
Length: 3168 
Certificates Length: 3165 
Certificates (3165 bytes) 
Certificate Length: 861 
国 Certificate (id-at-commonName=reg.163.com,id-at-organizational 
Certificate Length: 1051 
国 Certificate (id-at-commonName=CNNIC SSL, id-at-organizationNamd 
Certificate Length: 1244 
国 Certificate 〔id-at-commonName=Entrust.net Secure Server Certifl 
国 TLSV1 Record Layer: Handshake Protocol: Server Hello Done 


图 11.20 第 71 号 包 是 服务 器 将 自己 的 3 个 证 书 发 给 浏览 器 


@ 第 72 号 包 : 客户 机 浏览 器 向 服务 器 发 送 客 户 端 的 密 钥 交 换 、“ 改 变 密 码 参数 协议 ” 报 
文 、 启 用 刚 生成 的 密码 参数 组 ,以 及 用 这 些 密 钥 加 密 后 的 握手 报 文 ,如 图 11. 21 所 示 。 


SB Secure Socket Layer 
困 TLSv1 Record Layer: Handshake Protoco1: Client Key Exchange 
国 TLSv1 Record Layer: Change Cipher Spec Protoco1: Change Cipher Spec 
国 TLSVv1 Record Layer: Handshake Protocol: Encrypted Handshake Message 


图 11.21 第 72 号 包 客 户 机 向 服务 器 发 送 "改变 密码 参数 协议 " 报 文 等 


G@ 第 73 号 包 : 服务 器 向 客户 端 发 送 “ 改 变 密码 参数 协议 ” 报 文 ,用 刚 启 用 的 会 话 密 钥 加 
密 后 的 握手 报 文 ,如 图 11. 22 所 示 。 


ransmTlssTon Contro 


Secure Socket Layer 
TLSv1 Record Layer: Change cipher Spec Protocol: Change Cipher Spec 
图 TLSv1 Record Layer: Handshake Protocol: Encrypted Handshake Message 


图 11.22 服务 器 向 客户 机 发 送 “ 改 变 密码 参数 协议 " 报 文 


te 号 包 : 客户 端 向 服务 器 发 送 用 刚 启用 的 会 话 密 钥 加 密 的 应 用 层 数据 (邮件 报 

。 第 76 号 包 : 服务 器 向 客户 端 发 送 用 会 话 密 钥 加 密 后 的 应 用 层 数据 (邮件 报 文 ) 。 

第 80 号 包 : 服务 器 向 客户 端 发 送 加 密 后 的 报警 报 文 (Encrypted Alert 。 

当 邮 件 传输 完毕 后 ,服务 器 与 客户 端 之 间 交 换 一 个 FIN ACK 报 文 ,结束 本 次 加 密 电 
子 邮 件 的 通信 。 

此 例 是 仅 用 服务 器 的 证 书 进行 单方 认证 的 TLS 通信 过 程 (普通 用 户 使 用 很 方便 ) ,而 对 
于 要 求 客户 端 也 向 服务 器 提供 数字 证 书 的 双方 认证 过 程 ,两 者 的 差异 在 于 : 在 上 述 第 @ 步 
中 服务 器 将 自己 的 证 书 发 给 客户 机 后 ,接着 发 送 一 个 Certificate Request 报 文 ,要 求 客户 机 
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提供 证 书 。 然 后 客户 机 返回 一 个 Certificate 证 书 报 文 ,其 中 含有 客户 机 的 证 书 。 这 样 的 连 
接 双方 都 相互 进行 高 可 靠 的 身份 认证 。 后 面 的 过 程 相同 。 
注意 ,以 上 9 个 通信 步骤 的 数据 都 由 SSL/TLS 的 记录 层 协议 处 理 后 再 传 给 下 层 的 
TCP 封装 传输 。 从 此 案例 可 看 出 ,采用 TLS 协议 的 基于 Web 浏览 器 https 的 电子 邮件 系 
统 具有 很 高 的 信息 安全 保障 ,从 网 络 数据 中 不 可 获取 用 户 的 邮箱 地 址 .口令 和 邮件 内 容 。 而 
用 户 端 浏览 器 的 操作 与 用 http 协议 访问 基于 Web 的 普通 电子 邮件 服务 器 没有 任何 差异 ， 
使 用 方便 ,因此 这 种 电子 邮件 系统 得 到 广泛 应 用 。 

不 足 之 处 是 SSL/TLS 只 解决 了 客户 端 与 服务 器 之 间 的 安全 通信 和 问题。 从 图 6. 25 所 
示 电 子 邮件 系统 的 介绍 可 知 ,电子 邮 件 的 传输 分 为 3 个 阶段 : 发 送 方 将 邮件 发 到 自己 注册 
的 邮件 服务 器 ;发 送 方 的 服务 器 作为 SMTP 客户 将 邮件 转发 到 接收 方 注册 的 邮件 服务 器 ; 
接收 方 从 自己 注册 的 邮件 服务 器 中 读 取 邮件 。 只 有 在 这 3 个 通信 阶段 全 都 采用 了 
SSL/VTLS 协 议 后 才能 实现 电子 邮件 传输 的 端 到 端的 全 过 程 保密 服务 。 

本 节 只 是 粗略 地 分 析 了 浏览 器 /服务 器 之 间 的 采用 单方 身份 认证 的 TLS 协议 的 电子 邮 
件 收发 过 程 。 可 以 利用 Wireshark 捕获 采用 TLS 协议 的 电子 邮件 数据 ,分 析 握 手 过 程 中 实 
施 双 向 相互 认证 的 过 程 ,并 且 进 一 步 深 入 研究 TLS 协议 网 络 数 据 中 包含 的 丰富 信息 。 


11.3 PGP 安全 协议 及 其 应 用 


在 第 6 章 介绍 的 普通 电子 邮件 系统 中 ,用 户 的 信息 完全 是 明文 传送 的 。 还 介绍 了 安全 / 
多 功能 互联 网 电子 邮件 扩展 协议 S/MIME( 它 需要 邮件 通信 双方 都 拥有 数字 证 书 ), 在 
第 11. 2 节 介 绍 了 基于 TLS 协议 的 电子 邮件 系统 。 本 节 将 介绍 PGP(pretty good privacy) 
安全 隐私 协议 , 它 的 基本 使 用 条 件 是 邮件 的 通信 方 必须 生成 并 拥有 公 钥 数字 证 书 。 这 三 种 
安全 协议 都 可 为 SMTP 电子 邮件 提供 认证 和 保密 服务 ,但 是 各 有 优 缺 点 ,因此 在 应 用 的 广 
泛 性 方面 有 所 不 同 。 

PGP 在 应 用 层 的 位 置 如 图 11. 3 所 示 。PGP 安全 协议 于 1991 年 由 Phil Zimmermann 
开发 。 经 过 多 年 曲折 的 改进 和 发 展 ,2010 年 4 月 Symantec Corp. 公司 宣布 收购 PGP, 拟 将 
该 技术 集成 于 该 公司 的 企业 安全 组 (Enterprise Security Group) 产 品 中 。PGP 可 用 于 企 事 
业 单 位 私有 网 络 的 安全 电子 办 公 系 统 中 ,作为 独立 的 文件 完整 性 验证 \ 信 源 验 证 和 文件 加 密 
工具 使 用 , 它 的 软件 产品 和 使 用 手册 下 载 网 址 http:// www. pgp. com 或 http://www. 
symantec. com 。 

PGP 是 一 个 对 数据 保密 隐私 和 认证 的 加 密 / 解 密 的 计算 机 程序 。PGP 的 应 用 包括 端 对 
端的 安全 电子 邮件 及 其 附件 传输 、 对 文件 的 数字 签名 .全 磁盘 加 密 .文件 与 文件 夹 安全 保护 、 
IM 即时 通信 的 会 话 的 保护 、 网 络 存 储 服务 器 的 文件 保护 。 最 新 版 本 的 应 用 是 在 客户 浏览 
器 上 安装 Enigform 以 及 在 服务 器 上 安装 了 mod openpgp 软件 模块 后 ,可 实现 对 HTTP 的 
请 求 / 响 应 的 加 密 或 签名 保护 。 

PGP 对 数据 文件 的 加 密使 用 的 技术 包括 Hash 完整 性 验证 ,数据 压缩 、 对 称 密 钥 加 密 、 
公 钥 加 密 技术 。PGP 的 每 个 公 钥 与 用 户 名 与 电子 邮箱 地 址 绑 定 , 而 在 PGP 新 版 本 中 可 采 
用 X. 509 数字 证 书 , 并 通过 一 个 自动 密 钥 管 理 服 务 器 给 用 户 提供 选择 。 

PGP 对 报 文 的 加 密 采用 一 次 性 使 用 的 对 称 的 会 话 密 钥 ,采用 接收 方 的 公 钥 将 会 话 密 钥 
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加 密 后 ,与 加 密 的 报 文 一 同 传 给 接收 方 。 只 有 接收 方 的 私 钥 才 能 够 解密 获取 会 话 密 钥 ， 
会 话 密 钥 对 整个 报 文 解密 。 

PGP 支持 对 报 文 的 签发 者 身份 认证 和 完整 性 验证 。 报 文 的 发 送 方 首 先 从 报 文 中 计算 
产生 Hash 值 (也 称 为 报 文摘 要 ) ,然后 使 用 自己 的 私 钥 对 Hash 值 加 密 , 或 使 用 DSA 签名 算 
法 从 报 文中 产生 一 个 数字 签名 。 将 签名 附加 到 报 文 后 面 ,任何 人 可 以 利用 发 送 方 的 公 钥 对 
签名 解密 ,从 而 验证 此 报 文 的 发 送 者 。 


11.3.1 PGP 安全 电子 邮件 


电子 邮件 是 一 种 非 实时 的 通信 方式 , 即 邮件 的 发 送 和 接收 双方 不 进行 实时 的 在 线 交 互 ， 
这 种 行为 与 QQ 等 网 络 通信 方式 不 同 。 在 电子 邮件 中 ,发 送 方 和 接收 方 不 建立 会 话 进程 ,发 
送 方 将 邮件 用 “ 推 " 的 方式 发 送 到 自己 注册 的 邮件 服务 器 (不 需要 经 过 接收 者 的 同意 ) ,然后 
接收 方 用 * 拉 ?的 方式 从 自己 注册 的 邮件 服务 器 读 取 邮件 。 收 到 邮件 后 可 以 发 回 一 个 确认 邮 
件 , 也 可 不 通知 发 送 方 。 同 时 每 个 邮件 之 间 的 关系 都 是 相互 独立 的 。 因 此 垃圾 邮件 的 制造 
者 可 以 不 经 过 收 件 人 的 同意 ,大 量 散 发 垃圾 邮件 。 注 意 区 别 ,PGP 和 S/MIME 都 不 能 解决 
垃圾 邮件 的 问题 ,根本 的 原因 是 通过 网 络 传 输 的 邮件 报 文中 收发 信人 的 电子 邮箱 地 址 是 不 
加 密 的 , 详 见 第 6 章 的 介绍 。 

Phil Zimmerman 开发 PGP 协议 的 最 初 目的 是 要 解决 电子 邮件 通信 双方 的 安全 参数 的 
传输 问题 。 在 PGP 中 ,邮件 的 发 送 方 需要 将 报 文 的 验证 算法 和 密 钥 值 与 报 文 一 起 发 送出 
去 。PGP 可 以 提供 几 种 安全 服务 ,根据 用 户 的 需要 ,可 在 电子 邮件 中 选择 使 用 一 个 或 多 个 
这 种 服务 。PGP 提供 的 服务 如 下 : 

(1) 发 送 明文 : 这 是 最 简单 的 电子 邮件 。 发 送 方 产生 一 个 邮件 报 文 ,然后 发 送 到 接收 
方 的 邮箱 中 ,等 待 接收 方 的 读 取 。 

(2) 报 文 的 认证 : 发 送 方 对 发 送 的 邮件 进行 签名 。 发 送 方 从 报 文中 产生 一 个 报 文摘 
要 ,并 用 自己 的 私有 密 钥 对 它 进 行 签名 。 当 接收 方 收 到 此 报 文 后 , 它 使 用 发 送 方 的 公开 密 钥 
来 证 实 此 报 文 是 否 来 自发 送 方 。 这 需要 两 个 密 钥 : 发 送 方 需要 自己 的 私有 密 钥 ,接收 方 需 
要 有 发 送 方 的 公开 密 钥 。 

(3) 报 文 的 压缩 : 将 电子 邮件 报 文 和 报 文摘 要 进行 压缩 传输 可 以 减少 网 络 流量 ,但 无 
保密 作用 。 

(4) 使 用 一 次 性 会 话 密 钥 加 密 : 发 送 方 产生 一 个 一 次 性 使 用 的 会 话 密 钥 , 用 它 对 报 文 
和 摘要 进行 加 密 , 然 后 将 会 话 密 钥 与 加 密 后 的 报 文 一 起 发 送 。 为 了 保护 会 话 密 钥 ,发 送 方 利 
用 接收 方 的 公开 密 钥 对 它 加 密 。 

(5) 代码 转换 : 大 部 分 电子 邮件 系统 只 能 传送 ASCII 编码 构成 的 文本 邮件 。 如 果 要 用 
电子 邮件 发 送 非 ASCII 码 的 信息 (例如 , 音 视频 、 照 片 、 二 进 制 数据 等 ),PGP 使 用 Base-64 
编码 转换 方法 将 二 进 制 数据 转换 为 ASCII 字符 进行 发 送 。 接 收 方 收 到 这 些 Base-64 产生 的 
ASCII 字符 后 ,再 将 其 还 原 为 非 ASCII 的 信息 。 参 看 图 6. 17 中 对 Base-64 编码 方法 的 
介绍 。 

(6) 报 文 分 段 : 当 二 进 制 信息 被 用 Base-64 转换 为 ASCII 字符 后 ,PGP 允许 将 长 的 报 
文 分 段 , 以 满足 电子 邮件 协议 所 支持 的 报 文 长 度 要 求 。 
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1. PGP 安全 电子 邮件 应 用 举例 

在 此 例 中 使 用 了 PGP 的 上 述 认 证 与 加 密 的 服务 。 假 设 通信 的 双方 小 李 与 小 张 是 相互 
信任 的 ,每 个 人 都 有 一 个 私有 密 钥 和 一 个 公开 密 钥 , 即 小 李 有 自己 的 私 钥 和 小 张 的 公 钥 ,而 
小 张 有 自己 的 私 钥 和 小 李 的 公 钥 ,他 们 需要 安全 地 传输 电子 邮件 。 图 11. 23 所 示 为 小 李 向 
小 张 发 送 的 PGP 加 密 邮件 数据 包 的 结构 , 方 框 上 的 锁 表示 框 内 的 数据 经 过 了 加 密 处 理 , 未 
画 出 的 部 分 是 整个 PGP 报 文 被 封装 到 SMTP 包 中 ,再 依次 封装 到 TCP 和 IP 包 中 传输 ,图 
中 省 略 了 位 于 中 间 的 邮件 服务 器 。 


发 送 方 PA1 : 公 钥 算法 1， 用 于 对 会 话 密 钥 加 密 接收 方 
小 李 ”PpA2; 公 铀 算法 2， 用 于 对 搞 要 加 密 小 张 
SA : 会 话 密 钥 算法 代号 ， 用 于 对 报 文 和 报 文摘 要 加 密 

HA : Hash 算 法 代号 ， 用 于 产生 报 文摘 要 


PGP 报 文 会 话 密 钥 加 密 


[i 了 7 
BB 记 子 邮件 1 用 小 地 的 用 小 张 的 公 钥 加 密 


1 
上 信 | | HA+PA2+ | 私 钥 加 密 和 应 | S 
部 | | | 报 文 信息 | | | 的 摘要 钨 ! | | PA | 人 论语 


图 11.23 利用 PGP 协议 对 电子 邮件 认证 和 加 密 


2. PGP 安全 电子 邮件 发 送 方 的 处 理 过 程 

(1) 发 送 方 小 李 产 生 一 个 对 称 密 钥 作为 本 次 通信 的 会 话 密 钥 ( 仅 用 于 本 次 发 送 与 接收 
邮件 的 安全 处 理 ) ,并 且 将 它 与 加 密 算法 的 代号 (图 中 的 SA) 绑 定 。 然 后 将 二 者 用 接收 方 小 
张 的 公 钥 加 密 。 小 李 再 加 入 此 公开 密 钥 算 法 的 代号 PAl1, 构 成 了 图 11. 23 中 右边 的 数据 
段 。 此 数据 段 中 包含 了 三 个 信息 : 会 话 密 钥 ,下 一 步 将 要 使 用 的 对 称 密 钥 算法 SA, 以 及 此 
部 分 使 用 的 非 对 称 密 钥 算法 PA1l。 

(2) 发 送 方 小 李 使 用 一 个 Hash 算法 从 电子 邮件 报 文中 产生 摘要 ,并 用 自己 的 私有 密 
钥 对 摘要 进行 加 密 ,此 过 程 称 为 签名 认证 。 然 后 加 入 此 公 钥 加 密 算法 的 代号 PA2, 以 及 
Hash 算法 的 代号 HA。 此 数据 段 包含 了 : 签名 (用 小 李 的 私 钥 加 密 的 邮件 报 文摘 要 ) ,加 密 
算法 和 Hash 算法 的 代号 。 

(3) 发 送 方 小 李 用 第 (1) 步 产生 的 会 话 密 钥 对 电子 邮件 报 文 以 及 第 (2) 步 产生 的 数据 段 
进行 加 密 ,形成 了 图 中 部 的 用 会 话 密 钥 加 密 的 数据 段 。 

(4) 小 李 在 上 述 三 个 步骤 产生 的 数据 前 面 加 入 PGP 头 部 ,再 将 整个 PGP 包 依 次 封装 
到 电子 邮件 SMTP 包 、TCP 数据 段 和 IP 包 中 ,再 通过 自己 注册 的 电子 邮件 服务 器 ,转发 到 
接收 方 的 邮件 服务 器 ,等 待 小 张 的 接收 。 

3. PGP 安全 电子 邮件 的 接收 方 处 理 过 程 

(1) 接收 方 小 张 从 电子 邮件 服务 器 中 收 到 小 李 发 给 自己 的 PGP 包 后 ,利用 自己 的 私有 
密 钥 从 尾部 (图 11. 23 右 侧 ) 的 数据 中 解密 获得 本 邮件 的 会 话 密 钥 ,并 从 代号 SA 知道 采用 
的 对 称 密 钥 加 密 算 法 。 

(2) 小 张 使 用 会 话 密 钥 对 PGP 包 中 部 的 电子 邮件 报 文 信息 和 虚线 框 内 的 部 分 进行 解 
密 。 得 到 了 电子 邮件 报 文 .Hash 算法 的 代号 HA 、 对 摘要 进行 加 密 的 公 钥 算法 代号 PA2。 

(3) 小 张 利 用 小 李 的 公开 密 钥 和 PA2 指定 的 算法 对 摘要 解密 ,由 此 验证 发 送 方 的 真实 
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身份 。 


(4) 小 张 使 用 HA 指定 的 Hash 算法 ,从 收 到 的 电子 邮件 报 文中 产 4 


(5) 小 张 将 第 (4) 步 产生 的 摘要 与 第 (3) 步 
解密 的 摘要 进行 对 照 , 如 果 二 者 相同 ,说 明 电子 


E 报 文摘 要 。 


表 11.5 PGP 使 用 的 加 密 算法 和 代号 


邮件 报 文 是 来 自 小 李 的 ,并 且 没 有 受到 算 改 .可 
以 信任 。 如 果 二 者 不 同 , 则 将 电子 邮件 报 文 
废弃 。 


11.3.2 PGP 采用 的 加 密 与 验证 算法 


表 11.5 是 PGP 可 采用 的 部 分 加 密 算法 ,新 
的 方法 还 在 不 断 地 加 入 其 中 。 

1. PGP 用 户 群 的 密 钥 环 

在 上 述 的 PGP 安全 电子 邮件 的 应 用 例子 
中 ,发 送 方 小 李 将 安全 电子 邮件 仅 发 送 给 一 个 接 
收 方 小 张 , 但 实际 中 经 常 需 要 将 电子 邮件 安全 地 
发 送 给 很 多 人 。 这 种 情况 下 ,小 李 需 
密 钥 的 密 钥 环 (key ring) ,其 中 的 每 一 个 密 钥 对 
应 小 李 需 要 通信 的 一 个 接收 方 或 发 送 方 。 另 外 ， 


算 法 | ID 代号 用 途 说 明 
1 RSA( 用 于 加 密 或 签名 ) 
公开 密 2 RSA( 只 用 于 加 密 ) 
钥 算 法 3 RSA( 只 用 于 签名 ) 
17 DSS( 用 于 签名 ) 
1 MD5 
Hash 
2 SHA-1 
算法 
3 RIPE-MD 
0 未 加 密 
对 称 密 1 IDEA 
一 个 公开 钥 算法 四 三 重 DES 
9 AES 


PGP 定义 了 一 个 私有 /公开 密 钥 环 。 原因 之 一 是 ,小 李 可 能 需要 时 常 更 换 自己 的 密 钥 对 ; 另 
一 个 原因 是 ,小 李 可 能 要 与 不 同 的 人 群 通信 (同学 ,同事 ,亲属 等 ), 他 要 使 用 不 同 的 密 钥 对 与 
不 同 的 人 群 通信 。 因 此 每 个 用 户 需要 有 两 组 密 钥 环 : 一 个 私有 /公开 密 钥 环 ,一 个 其 他 人 群 
的 公开 密 钥 环 。 图 11. 24 所 示 为 含有 4 个 人 的 用 户 群 的 密 钥 环 , 每 个 人 有 两 个 环 ,一 个 环 由 
自己 的 私有 /公开 密 钥 对 组 成 , 另 一 个 环 由 社区 内 的 4 个 人 的 公开 密 钥 组 成 。 图 中 的 每 个 公 
开 密 钥 环 内 有 7 个 公开 密 钥 , 环 中 的 每 个 人 对 其 他 人 可 以 有 多 于 1 个 的 公开 密 钥 。 


小 地 的 密 钥 环 


小 张 的 密 钥 环 


王 的 密 钥 环 


小 刘 的 密 钥 环 


图 11.24 在 一 个 PGP 安全 邮件 社区 中 的 每 个 人 都 有 一 对 密 钥 环 


例如 ,小 李 有 属于 自己 的 几 个 和 有 /公开 密 钥 对 ,他 还 有 属于 社 


注意 ,每 个 人 可 以 有 多 个 公开 密 钥 。 可 能 出 现 两 
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种 情况 : 


区 内 其 他 人 的 公开 密 钥 。 


(1) 小 李 需 要 发 送 一 个 电子 邮件 给 社区 中 的 一 个 人 。 他 使 用 自己 的 私有 密 钥 对 邮件 的 
报 文摘 要 进行 签名 ,再 使 用 接收 者 的 公开 密 钥 对 新 产生 的 会 话 密 钥 进行 加 密 , 最 后 用 会 话 密 
钥 将 邮件 报 文 和 签名 的 摘要 进行 加 密 ,然后 发 送 邮件 。 

(2) 小 李 收 到 社区 中 的 一 个 人 发 来 的 安全 邮件 。 使 用 自己 的 私有 密 钥 从 收 到 的 PGP 
邮件 中 解密 获得 会 话 密 钥 ,再 使 用 会 话 密 钥 解 密 获 得 对 方 的 邮件 报 文 和 签名 ,最 后 他 使 用 发 
送 方 的 公开 密 钥 来 证 实 摘要 的 真 伪 。 

2. PGP 用 户 的 数字 证 书 

为 了 验证 公开 密 钥 的 持 有 者 是 否 合法 ,PGP 社区 的 每 个 用 户 都 需要 有 一 个 公开 密 钥 持 
有 者 的 证 书 。 虽然 有 些 安全 证 书 必须 由 权威 机 构 (Certificate Authority, CA ) 颁 发 ,但 在 
PGP 中 不 需 如 此 ,PGP 有 自己 的 证 书 系统 。 

使 用 X. 509 的 协议 的 证 书 取决 于 信任 级 别 的 层次 结构 。 有 一 个 事先 定义 的 从 最 高 级 
别 根 (root) 到 每 个 证 书 的 信任 链 (chain of trust) ,每 个 用 户 完全 信任 CA 的 最 高 根 级 别 的 权 
威 性 。 根 级 别 的 CA 对 第 二 级 别 的 CA 发 布 证 书 , 而 第 二 级 别 的 CA 又 对 第 三 级 别 的 CA 发 
布 证 书 ,等 等 。 如 果 通 信和 的 一 方 要 获得 对 方 的 信任 ,他 就 需 出 示 某 级 别 CA 颁发 的 证 书 。 如 
果 小 李 不 信任 小 张 获得 的 证 书 , 他 可 以 向 高 级 别 的 CA 提出 验证 诉求 ,直到 根 级 别 的 CA。 
换言之 ,从 最 高 级 的 CA 到 证 书 之 间 有 单一 的 关系 链 ( 参 见 图 10. 30) 。 

在 PGP 中 ,不 需要 这 些 权 威 机 构 CA 来 来 颁发 证 书 , 在 PGP 社区 中 的 任何 人 都 可 以 签 
发 一 个 证 书 给 同 社区 的 其 他 人 。 在 PGP 中 没有 信任 级 别 的 划分 。 小 李 可 以 签发 一 个 证 书 
给 小 张 .小 王 等 。 小 刘 也 可 以 有 一 个 小 张 签发 的 证 书 和 一 个 小 王 签发 的 证 书 。 如 果 小 李 要 
考察 小 刘 证 书 的 信任 度 ,他 有 两 条 路 径 : 或 者 是 信任 小 张 ,或 者 是 信任 小 王 。 就 会 出 现 一 种 
情况 : 小 李 充 分 信任 小 张 ,而 只 部 分 信任 小 王 。 这 就 导致 不 同 路 径 对 小 刘 的 考察 导致 不 同 
的 信任 度 。PGP 中 这 种 间接 的 证 书 的 信任 关系 ,通常 称 为 介绍 人 。 

整个 PGP 的 运行 都 基于 对 介绍 人 的 信任 、 对 证 书 的 信任 ,以 及 公开 密 钥 的 合法 性 。 

(1) 介绍 人 的 可 信和 度 : 与 第 10 章 介 绍 的 公 钥 基础 设施 PKI 的 层次 结构 的 证 书 认证 中 
心 CA 相 比 较 ,PGP 缺少 一 个 最 高 信任 级 的 权威 机 构 CA。PGP 允许 社区 的 用 户 对 其 他 人 
的 信任 度 不 是 完全 一 样 的 。 信 任 度 的 级 别 数 取决 于 实施 的 情况 ,为 简单 起 见 ,假设 对 介绍 人 
的 信任 度 有 三 个 级 别 : 无 级 别 , 部 分 信任 和 完全 信任 。 介 绍 人 的 信任 度 取决 于 PGP 社区 内 
其 他 人 的 推荐 ,或 者 由 用 户 自己 决定 。 

(2) 公开 密 钥 的 合法 性 : 使 用 介绍 人 和 信任 证 书 的 目的 是 为 了 判断 一 个 公开 密 钥 的 合 
法 性 。 一 个 用 户 的 公开 密 钥 的 合法 性 的 级 别 取决 于 对 该 用 户 的 信任 度 。 

(3) 密 钥 的 撤销 : 如 果 PGP 社区 的 一 个 用 户 感到 他 的 密 钥 受到 了 和 危害 (例如 被 人 
盗窃 了 ) ,或 者 密 钥 使 用 的 时 间 太 长 了 不 安全 ,他 可 以 撤销 他 的 密 钥 。 密 钥 的 持 有 者 发 
送 一 个 用 自己 的 旧 密 钥 签 名 的 密 钥 撤 销 证 书 给 社区 的 所 有 人 ,让 他 们 从 密 钥 环 中 撤销 
该 密 钥 。 
注意 ,安全 电子 邮件 协议 PGP 可 在 普通 的 SMTP 邮件 系统 中 传输 ,为 用 户 提供 端 到 端 
的 保密 邮件 通信 。PGP 通信 各 方 需要 生成 和 拥有 公 钥 数字 证 书 ,以 及 对 用 户 群 自治 的 证 书 
颁发 机 构 CA 的 维护 。 


”373: 


11.4 安全 电子 交易 SET 系统 


在 第 6.4.2 节 中 介绍 的 电子 商务 网 站 的 安全 性 较 差 。 安 全 电子 交易 (Secure Electronic 
Transaction,SET) 是 一 个 开放 式 的 加 密 与 安全 的 商务 系统 规范 , 它 用 于 保护 在 互联 网 上 的 
信用 卡 交易 。 版 本 SETvl 是 1996 年 应 Master Card 和 Visa Card 信用 卡 公司 的 要 求 开 发 
的 ,参与 制订 最 初 技术 规范 的 公司 包括 IBM、 微 软 、Netscape 等 。SET 本 身 并 不 是 一 个 支付 
系统 ,而 是 一 组 安全 协议 和 框架 格式 , 它 使 得 用 户 可 以 在 开放 的 互联 网 上 安全 地 使 用 现 有 的 
信用 卡 支付 系统 。SET 提供 以 下 3 种 服务 : 

(1) 为 商务 交易 的 各 方 之 间 提 供 一 个 安全 的 通信 信道 ; 

(2) 通过 使 用 X. 509v3 的 数字 证 书 ,实现 交易 各 方 的 相互 身份 认证 ; 

(3) 在 需要 的 时 间 和 地 点 ,保证 交易 的 机 密 信息 只 在 交易 的 各 方 之 间 传 输 。 


11.4.1 安全 电子 交易 SET 系统 概况 


SET 的 技术 规范 共有 3 本 资料 ( 共 971 页 ):“ 电 子 商 务 的 描述 ”(Business Description ， 
有 80 页 ), 程 序 员 手 册 ”(Programmer”s Guide, 有 629 页 ), “正式 协 议 的 定义 ”(Formal 
Protocol Definition, 有 262 页 ) 。 由 于 对 SET 的 全 面 介绍 较为 复杂 ,本 节 仅 从 3 个 方面 来 讨 
论 SET: 电子 商务 对 SET 的 要 求 ,SET 的 主要 特性 ,SET 交易 系统 中 购 货 方 持 卡 人 , 供 货 
方 贸易 商 和 银行 支付 网 关 之 间 的 信息 交互 过 程 。 

1. 电子 商务 对 SET 的 要 求 

在 “电子 商务 的 描述 "中 ,为 了 使 用 信用 卡 在 互联 网 和 其 他 网 络 上 可 以 进行 安全 的 支付 ， 
列 出 了 以 下 商务 需求 : 

(1) 提供 对 支付 和 订单 信息 的 保密 : 必须 让 信用 卡 持 有 人 相信 ,他 的 订单 和 支付 信息 
是 安全 和 保密 的 ,只 有 交易 的 对 方 可 以 知道 。 保 密 可 以 减少 被 伪造 和 欺骗 的 风险 ,SET 使 
用 加 密 技术 来 实现 交易 信息 的 保密 。 

(2) 保证 所 有 交易 数据 的 完整 性 : 在 电子 商务 SET 交易 的 时 候 ,传输 的 报 文 不 被 货 改 。 
SET 使 用 数字 签名 保证 数据 不 被 算 改 。 

(3) 对 信用 卡 持 卡 人 的 身份 认证 : 持 卡 人 必须 是 该 信用 卡 账户 的 合法 用 户 , 防 止 支付 
过 程 中 的 欺骗 行为 。 使 用 数字 签名 和 证 书 来 证 实 持 卡 人 是 一 个 有 效 账号 的 合法 用 户 。 

(4) 对 贸易 商 的 认证 : 对 能 够 通过 一 个 金融 机 构 接受 信用 卡 交易 的 贸易 商 进 行 认证 。 
持 卡 人 必须 对 进行 安全 电子 交易 的 贸易 商 进行 身份 认证 ,同样 使 用 数字 签名 和 证 书 。 

(5) 保证 使 用 最 好 的 安全 措施 和 系统 设计 技术 .保护 在 电子 商务 交易 中 的 所 有 合法 参 
与 者 。SET 采用 了 高 安全 性 的 算法 和 协议 ,并 经 过 了 充分 的 安全 测试 。 

(6) 制订 这 样 一 个 协议 ,该 协议 不 依赖 也 不 排斥 各 种 传输 安全 技术 的 使 用 。SET 可 以 
在 普通 的 TCP/IP 构架 下 运行 ,也 不 影响 其 他 安全 协议 的 使 用 ,例如 IPSec、SSL/TLS 等 。 

(7) 方便 并 鼓励 软件 与 网 络 设备 开发 商 之 间 的 协作 。SET 协议 和 构架 独立 于 硬件 平 
台 ,操作 系统 和 Web 软件 。 

2. SET 的 主要 特性 

为 了 满足 上 述 要 求 ,SET 具有 以 下 特性 : 
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(1) 电子 交易 信息 的 保密 : 持 卡 人 的 账号 和 支付 信息 在 网 络 上 传输 是 安全 的 。 它 可 以 
防止 贸易 商 知道 持 卡 人 的 信用 卡号 ,该 卡号 只 能 让 发 卡 银行 知道 。 使 用 传统 的 DES 加 密 技 
术 来 实现 此 目标 。 

(2) 交易 数据 的 完整 性 : 持 卡 人 发 送 给 贸易 商 的 支付 信息 包括 订单 ,个 人 数据 ,支付 金 
额 。SET 保证 这 些 信息 在 传输 中 不 被 自 改 。 使 用 RSA 数字 签名 和 SHA-1 的 Hash 码 ( 报 
文摘 要 ) 来 保证 数据 的 完整 性 。HMAC 也 使 用 SHA-1 来 保护 某 些 报 文 。 

(3) 持 卡 人 账号 的 认证 : 贸易 商 可 以 通过 SET 来 证 实 持 卡 人 是 否 是 一 个 有 效 信用 卡 账 
号 的 合法 使 用 者 。SET 使 用 X. 509v3 数字 证 书 和 RSA 数字 签名 实现 此 目的 。 参 看 
第 10. 3. 6 节 关 于 X. 509 公 钥 证 书 的 介绍 ,以 及 第 10.2 节 对 RSA 的 介绍 。 

(4) 贸易 商 的 认证 : SET 使 得 持 卡 人 可 以 鉴别 贸易 商 与 允许 它 接受 支付 卡 的 金融 机 构 
的 关系 。SET 是 使 用 X. 509v3 数字 证 书 和 RSA 签名 来 实现 此 目的 。 
注意 : SET 对 每 种 加 密 算法 只 提供 一 个 选择 ,这 与 IPSec 和 SSL/TLS 不 同 。 这 是 因为 
SET 是 一 个 单一 只 有 一 组 需求 的 应 用 ,而 IPSec 和 SSL/TLS 要 支持 很 广 范 围 的 应 用 。 


11.4.2 SET 系统 的 组 成 部 分 
图 11. 25 所 示 为 SET 系统 的 各 组 成 部 分 与 相互 联系 。 组 成 部 分 如 下 : 


支付 网 关 


图 11.25 安全 电子 交易 SET 系统 的 组 成 部 分 


(1) 持 卡 人 : 在 电子 交易 环境 下 ,消费 者 和 企业 购买 者 使 用 计算 机 通过 互联 网 与 贸易 
商 交 互 。 持 卡 人 是 信用 卡 的 签发 者 授权 的 支付 卡 的 合法 用 户 。 

(2) 贸易 商 : 是 一 个 可 以 向 持 卡 人 出 售 商品 或 提供 服务 的 个 人 或 公司 组 织 。 这 些 商 品 
或 服务 一 般 通 过 Web 网 站 (参看 6. 4 节 ) .电子 邮件 或 快递 系统 向 用 户 提供 。 一 个 可 以 接受 
支付 卡 的 贸易 商 必 须 与 银行 有 一 个 签约 关系 。 

(3) 信用 卡 发 卡 机 构 : 这 是 一 个 向 持 卡 人 提供 支付 卡 的 金融 机 构 , 例 如 中 心 银行 等 。 
一 般 开 设 用 户 账户 可 以 通过 邮件 或 个 人 亲自 办 理 。 发 卡 机 构 要 对 持 卡 人 的 债务 支付 负责 。 

(4) 商业 银行 : 是 一 个 金融 机 构 , 给 贸易 商 设立 一 个 账号 ,并 处 理 支付 卡 的 认证 和 付 
款 。 通常 贸易 商 愿意 接受 多 种 信用 卡 的 付款 ,但 是 不 愿意 与 多 个 发 卡 机 构 或 银行 卡 系统 进 
行 日 常 的 金融 业务 。 因 此 商业 银行 向 贸易 商 提供 对 指定 信用 卡 账号 是 否 有 效 的 认证 ,并 判 
断交 易 金 额 是 否 超出 该 信用 卡 的 支付 限额 。 银 行 从 发 卡 机 构 那 里 将 成 交 的 金额 从 付款 信用 
卡 的 账号 拨付 到 贸易 商 的 账号 ,然后 银行 从 中 获得 电子 交易 的 报酬 。 

(5) 支付 网 关 : 这 是 由 银行 或 指定 的 第 3 方 执行 的 处 理 贸易 商 支 付 报 文 的 网 关 。 支 付 
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网 关连 接 在 安全 电子 交易 SET 系统 与 现存 的 银行 卡 支付 网 络 之 间 ,进行 认证 和 支付 功能 。 
贸易 商 通过 互联 网 与 支付 网 关 交 换 SET 报 文 , 支 付 网 关 又 连接 到 银行 的 金融 处 理 系统 。 

(6) 数字 证 书 的 认证 中 心 (certificate authentication,CA): 这 是 一 个 受信 任 的 实体 ,向 
持 卡 人 、 贸 易 商 和 支付 网 关 签 发 X. 509v3 标准 的 公 钥 证 书 。SET 系统 的 成 功 与 否 ,取决 于 
这 些 CA 基础 设施 的 方便 性 和 快捷 性 。 正 如 在 图 10. 30 所 示 .CA 系统 使 用 一 个 层次 结构 的 
体系 ,因此 电子 交易 的 各 方 就 不 需要 直接 通过 根 证 书 认 证 机 构 去 认证 。 


11.4.3 SET 系统 的 工作 流程 


下 面 通过 一 个 电子 交易 过 程 的 简单 描述 ,来 说 明 SET 系统 的 工作 流程 。 

(1) 消费 者 开设 一 个 账户 : 消费 者 向 支持 SET 系统 的 银行 申请 开始 一 个 信用 卡 账户 。 

(2) 消费 者 获取 一 个 数字 证 书 : 消费 者 经 过 认证 和 资格 审查 后 ,获得 一 个 X. 509v3 的 
数字 证 书 , 它 经 过 了 发 卡 银行 CA 的 签名 。 在 银行 CA 的 保证 之 下 ,该 证 书 用 于 提供 和 确认 
消费 者 的 RSA 公 钥 和 有 效 期 , 它 也 在 消费 者 的 密 钥 对 ( 公 钥 和 私 钥 ) 与 信用 卡 账号 之 间 建 立 
一 个 确定 关系 。 

(3) 贸易 商 设立 自己 的 数字 证 书 : 接受 各 种 类 型 的 信用 卡 的 贸易 商 ,必须 具有 两 个 自 
己 的 公 钥 证 书 : 一 个 用 于 对 交易 报 文 签名 , 另 一 个 用 于 密 钥 交换 。 贸 易 商 还 需要 有 一 个 支 
付 网 关 的 公 钥 证 书 的 副本 。 

(4) 消费 者 发 出 一 个 订货 单 : 消费 者 先 浏览 贸易 商 的 Web 网 站 ,选择 自己 需要 的 商品 , 确 
定价 格 。 消 费 者 在 网 页 的 订货 表格 上 填写 所 需 的 货物 名 称 、 数 量 、 价 格 和 总 价 等 ,然后 提交 给 
贸易 商 。 贸 易 商 返回 一 个 订货 单 , 列 出 了 货物 名 称 、 数 量 、 价 格 、 总 价 和 一 个 订货 单 编号 。 

(5) 对 贸易 商 的 认证 : 贸易 商 除了 向 消费 者 返回 一 个 订货 单 合 同 外 ,还 要 提交 一 个 自 
己 的 数字 证 书 ,以便 消 费 者 查证 贸易 商 是 否 是 一 个 合法 的 经 营 者 。 

(6) 消费 者 向 贸易 商 发 送 确认 的 订货 单 和 付款 信息 : 消费 者 将 确认 的 订货 单 、 支 付 信 
息 和 自己 的 数字 证 书 发 送 给 贸易 商 。 贸 易 商 利用 消费 者 的 证 书 判别 其 合法 性 。 支 付 信息 对 
贸易 商 是 保密 的 ,其 中 包含 了 消费 者 信用 卡 的 详细 资料 ,这 些 信 息 不 能 被 贸易 商 解密 和 获 
取 , 但 是 需 由 贸易 商 转交 给 银行 支付 网 关 。 

(7) 贸易 商 请 求 支付 的 认证 : 贸易 商 将 消费 者 的 支付 信息 转发 送 给 银行 支付 网 关 , 请 
求 对 消费 者 的 信用 和 对 此 交易 的 支付 能 力 进 行 认证 。 

(8) 贸易 商 确认 订货 单 : 贸易 商 将 经 过 认证 后 的 订货 单 发 送 给 消费 者 。 

(9) 贸易 商 提交 订购 的 商品 或 服务 : 贸易 商 通 过 快递 业务 等 渠道 将 商品 或 服务 送 给 消 
费 者 。 

(10) 贸易 商 请 求 消费 者 的 银行 支付 网 关 付款 : 此 付款 请 求 发 送 给 支付 网 关 , 它 处 理 所 
有 的 付款 进程 。 


11.4.4 对 订货 单 与 支付 信息 进行 双重 签名 


SET 中 有 一 个 特殊 的 措施 : 双重 签名 , 它 的 目的 是 对 同一 笔 交易 中 发 给 两 个 不 同 接收 

者 的 两 个 报 文 进行 双重 签名 。 在 SET 的 上 述 工作 流程 中 ,消费 者 要 发 送 订 单 信息 

(Ordering Information, OI) 给 贸易 商 ,同时 还 要 请 贸易 商 转 发 支付 信息 (Payment 

Information, PD) 给 银行 。 在 交易 涉及 的 三 者 关系 中 ,贸易 商 不 能 知道 消费 者 的 信用 卡号 ， 
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银行 不 能 知道 消费 者 的 订货 单 信息 。 消 费 者 将 发 送 的 同一 个 报 文中 的 这 两 个 信息 分 离 ,分 
别 进行 保密 处 理 。 然 而 当 出 现 商 务 纠纷 时 ,这 两 个 信息 又 必须 要 有 内 在 的 关联 以 解决 纠纷 。 
消费 者 要 能 够 证 明 某 一 个 支付 信息 是 针对 某 个 订单 的 ,而 不 是 针对 其 他 交易 的 付费 。 

举例 说 明 将 这 两 个 信息 联系 在 一 起 的 必要 性 。 假 设 一 个 消费 者 发 送 给 贸易 商 两 个 信 
息 : 一 个 签名 的 订货 信息 OL 和 一 个 签名 的 支付 信息 PL ,贸易 商 将 收 到 的 支付 信息 PL 转 
发 给 消费 者 的 银行 支付 网 关 。 如 果 贸 易 商 还 持 有 同一 个 消费 者 的 另外 一 个 订单 OI ,贸易 
商 就 可 以 声称 这 个 另外 的 订单 OI 是 针对 上 一 个 付费 单 PL 的 。 因 此 订货 信息 OI 必须 与 
支付 信息 PI 有 内 在 的 关联 。 图 11. 26 说 明 使 用 双重 签名 来 满足 此 需求 的 过 程 。 


支付 Hash 函 数 支付 信息 各 有 
信息 (PD 门 、(SHA-1) 门 的 报 文摘 ee | 
要 (PIMD) 「 Hash 函数 | 一 
连接 站 (gsAH-1) 单 报 文摘 让 加 密 站 双重 签名 上 一 
订单 信 | | Hash 函 数 人 LGAH-D | | 要 POMD) 
1) 和 
息 (OD (SHA-1) 要 (OIMD) 


图 11.26 消费 者 发 送 支付 与 订货 信息 的 双重 签名 过 程 


消费 者 先 计算 得 出 同一 笔 交 易 的 PI 的 Hash 值 和 OI 的 Hash 值 (SHA-1), 将 它们 连接 
起 来 ,再 求 取 合 成 结果 的 Hash 值 。 最 后 ,消费 者 用 自己 的 私有 签名 密 钥 将 最 后 的 Hash 值 
加 密 , 产 生 了 双重 签名 (Dual Signature,DS) ,发 送 给 贸易 商 。 此 过 程 可 以 简写 为 ， 
双重 签名 DS = 持 卡 人 的 私 钥 加 密 [ Hash(Hash(PD 十 Hash(OD)] 
式 中 ,Hash() 表 示 计 算 括 号 中 数据 的 Hash 值 。 
现在 ,贸易 商 收 到 了 双重 签名 DS、 订 单 信息 OI 以 及 支付 信息 的 报 文 摘要 (Payment 
Information Massage Digest, PIM7T) 的 双重 摘要 .但 不 能 知道 支付 信息 PI 的 内 容 。 贸 易 商 
可 从 消费 者 的 数字 证 书 中 获得 该 消费 者 的 公 钥 。 贸 易 商 分 别 计算 以 下 两 个 数值 ; 
Hash[ PIMD 十 Hash(OD] 以 及 持 卡 人 的 公 钥 解密 [双重 签名 DS] 
如 果 这 两 个 数值 相等 ,贸易 商 就 证 明了 此 签名 。 同 样 , 如 果 消 费 者 的 银行 支付 网 关 收 到 
了 此 双重 签名 DS 支付 信息 PI 以 及 订单 报 文摘 要 OIMD 的 摘要 ,银行 支付 网 关 从 消费 者 
的 证 书 中 获得 他 的 公 钥 ,支付 网 关 银 行 就 分 别 计算 以 下 两 个 数值 : 
HashL Hash( PD 十 OIMD] 以 及 持 卡 人 的 公 钥 解密 [ 双重 签名 DS] 
如 果 这 两 个 数值 相等 ,银行 证 实 了 此 双重 签名 是 有 效 的 。 上 述 过 程 归纳 如 下 : 
(1) 贸易 商 收 到 订单 信息 ,并 证 实 此 签名 ， 
(2) 银行 支付 网 关 收 到 支付 信息 ,并 证 实 此 签名 ， 
(3) 消费 者 发 出 的 OI 和 PI 之 间 的 双重 签名 建立 了 它们 的 内 在 关联 。 
假如 贸易 商 为 了 自己 的 利益 , 想 将 此 交易 中 的 订单 OL 替换 掉 , 他 就 企图 找到 另外 一 个 
订单 OL ,使 它 的 Hash 值 与 该 交易 中 的 OIMD, 相同 。 由 于 订单 信息 的 摘要 是 用 SHA-1 算 
出 的 ,不 可 能 找到 两 个 不 同 的 订单 具有 相同 Hash 值 。 


11.4.5 SET 的 业务 类 型 


SET 的 交易 业务 有 14 种 类 型 ,简要 介绍 如 下 : 
(1) 持 卡 人 的 注册 : 持 卡 人 在 进行 SET 交易 前 ,必须 先 向 一 个 证 书 认证 机 构 注 册 , 并 获 
人 


取 数 字 证 书 。 

(2) 贸易 商 的 注册 : 贸易 商 在 进行 SET 交易 前 ,必须 先 向 一 个 CA 注册 ,并 获取 数字 
证 书 。 

(3) 购 货 请 求 : 消费 者 向 贸易 商 发 送 的 报 文中 包含 了 给 贸易 商 的 OI, 以 及 给 银行 的 支 
付 信 息 PI。 

(4) 支付 的 授权 : 贸易 商 和 支付 网 关 之 间 信息 交换 ,对 指定 的 信用 卡 账号 和 支付 金额 
进行 授权 。 

(5) 支付 的 获取 : 允许 贸易 商 向 支付 网 关 请 求 支付 。 

(6) 证 书 查询 与 状态 : 如 果 CA 不 能 在 短 时 间 内 完成 对 证 书 查 询 请 求 的 处 理 , 它 将 返回 
一 个 报 文 给 持 卡 人 或 贸易 商 ,说 明 此 请 求 过 一 段 时 间 才 有 结果 。 持 卡 人 或 贸易 商 发 送 “ 证 书 
查询 ” 报 文 以 确定 查询 的 状态 ,如 果 请 求 被 证 实 了 就 验证 了 对 方 的 身份 。 

(7) 购物 查询 : 持 卡 人 收 到 贸易 商 的 购物 确认 后 ,可 以 查询 订单 的 处 理 进程 状态 。 注 
意 ,此 报 文 不 包含 如 延期 交 货 商品 的 处 理 状态 ,但 查询 指出 了 认证 、 付 款 到 位 、 信 用 处 理 的 

(8) 授权 的 撤销 : 此 业务 允许 贸易 商 纠 正 早 先 提出 的 授权 请 求 。 如 果 订 单 处 理 过 程 未 
结束 ,贸易 商 就 撤销 整个 的 授权 进程 。 如 果 订 货 单 的 一 部 分 不 能 完成 (例如 商品 的 延期 交 货 
等 ) ,贸易 商 撤销 授权 数量 的 一 部 分 。 

(9) 付款 请 求 的 撤销 : 允许 贸易 商 纠正 付款 请 求 。 例 如 ,由 于 工作 人 员 输 入 了 错误 的 
交易 数量 等 ,就 要 对 提交 的 付款 金额 请 求 纠正 。 
(10) 退 款 : 允许 贸易 商 给 持 卡 人 的 账户 退 款 。 例 如 , 当 货 物 被 退回 或 者 运输 过 程 中 货 
物 的 损坏 等 。 注 意 ,在 SET 交易 中 ,一 般 是 贸易 商 启动 退 款 进程 ,而 不 是 持 卡 人 。 在 贸易 商 
和 持 卡 人 之 间 的 所 有 导致 退 款 问 题 的 协商 ,都 是 在 SET 系统 外 发 生 的 。 
(11) 退 款 请 求 的 撤销 : 允许 贸易 商 纠正 先前 发 出 的 退 款 请 求 。 
(12) 支付 网 关 证 书 的 查询 请 求 : 允许 贸易 商 查询 支付 网 关 , 获 取 网 关 当前 的 公 钥 和 签 
名 的 证 书 。 
(13) 批 处 理 的 管理 : 允许 贸易 商 与 支付 网 关 交 换 批 处 理 信息 。 
(14) 出 错 信息 : 用 于 报告 通信 的 接收 方 拒绝 接收 的 报 文 。 例 如 ,格式 出 错 或 内 容 验 证 
测试 失败 等 。 

下 面 详细 讨论 上 述 14 种 业务 中 的 3 种 : 购 货 请 求 .货款 支付 的 认证 、 支 付 的 获取 。 


11.4.6 SET 的 购 货 请 求 


信用 卡 持 卡 人 在 发 出 购 货 请 求 之 前 , 先 要 浏览 贸易 商 的 Web 网 页 ,选择 商品 ,发 出 订货 
请 求 。 贸 易 商 向 持 卡 人 发 送 一 个 订货 单 ,要 求 填写 ( 见 6.4 节 )。 这 个 过 程 没有 使 用 安全 电 
子 交 易 SET 系统 。 

SET 购 货 请 求 信息 的 交换 包含 4 个 报 文 : 启动 请 求 (Initiate Request), 启 动 响 应 
(Initiate response) , 购 货 请 求 (Purchase Request) , 购 货 响应 (Purchase Response)。 

第 1 步 : 为 了 发 送 SET 报 文 给 贸易 商 , 持 卡 人 必须 有 贸易 商 和 支付 网 关 的 证 书 的 副 
本 , 持 卡 人 在 发 给 贸易 商 的 第 1 个 启动 请 求 报 文中 ,要 求 获 得 这 两 个 证 书 。 此 报 文中 还 包含 
持 卡 人 的 信用 卡 的 种 类 , 持 卡 人 给 出 启动 此 请 求 /响应 的 客户 名 ID 标识 ,以 及 一 个 随机 数 
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(防止 重 放 攻击 )。 

第 2 步 : 贸易 商 向 持 卡 人 发 回 一 个 响应 ,并 用 自己 的 私有 签字 密 钥 对 它 签 名 。 此 响应 
中 包含 持 卡 人 发 来 的 随机 数 ,以 及 另 一 个 让 持 卡 人 在 下 一 个 报 文中 返回 的 随机 数 ,以 及 标识 
此 次 购 货 的 交易 ID 号 。 除 了 对 响应 进行 签名 外 ,此 启动 响应 中 还 包含 贸易 商 的 签字 证 书 和 
支付 网 关 的 密 钥 交换 证 书 (参看 图 11. 27) 。 
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图 11.27 持 卡 人 发 给 贸易 商 的 购 货 请 求 报 文 


第 3 步 : 持 卡 人 通过 对 贸易 商 和 支付 网 关 的 CA 的 签字 来 确认 贸易 商 和 网 关 的 证 书 ， 
然后 填写 一 个 订货 信息 和 支付 信息 。 将 贸易 商 提供 的 交易 ID 号 填 人 OI 和 PI 中 。 订 货 信 
息 中 不 包含 明确 的 订货 数据 (例如 ,商品 的 数量 和 单价 ) ,而 是 包含 一 个 订货 的 参考 值 ,是 在 
贸易 商 和 持 卡 人 之 间 在 第 一 个 SET 报 文 前 的 协商 阶段 产生 的 。 然 后 持 卡 人 填写 购 货 请 求 
报 文 。 持 卡 人 先 产生 一 个 一 次 性 的 会 话 密 钥 Ks。 

1. 购 货 请 求 报 文中 包含 的 信息 

(1) 与 购 货 相 关 的 信息 ,此 信息 要 经 过 贸易 商 转发 给 支付 网 关 , 其 中 包括 : @ 持 卡 人 的 
支付 信息 PI, 包 含 信 用 卡 的 详细 信息 ; 四 双重 签名 DS ,是 从 PI 和 OI 中 算出 ,再 用 消费 者 的 
私有 签名 密 钥 签名 ; @ 用 会 话 密 钥 Ks 加 密 的 订货 信息 报 文摘 要 OIMD, 用 于 让 支付 网 关 确 
认 双 重 签名 ; @ 数 字 信封 ,是 用 支付 网 关 的 公开 密 钥 加 密 的 消费 者 的 会 话 密 钥 Ks ,必须 要 
先 对 它 解密 取出 会 话 密 钥 Ks ,才能 解密 阅读 上 述 的 所 有 数据 ,因此 形象 地 称 它 为 数字 信封 。 

(2) 与 订货 单 相关 的 信息 ,这 些 信息 是 贸易 商 需 要 的 ,其 中 包括 订货 单 信息 ;双重 签名 ， 
是 由 PI 和 OI 计算 出 的 ,再 用 消费 者 的 私有 密 钥 签名 ; 持 卡 人 的 支付 信息 的 报 文摘 要 ,贸易 
商用 它 证 实 双 重 签名 。 注 意 ,订货 单 是 用 明文 发 送 的 。 

(3) 持 卡 人 的 数字 证 书 , 其 中 包括 持 卡 人 签名 的 公开 密 钥 。 贸 易 商 和 支付 网 关 都 要 
用 它 。 
2. 贸易 商 收 到 消费 者 的 购 货 请 求 报 文 后 执行 的 操作 
(1) 通过 CA 的 签名 证 实 持 卡 人 的 数字 证 书 。 下 述 过 程 参看 图 11. 28 。 

(2) 使 用 持 卡 人 的 公开 签名 密 钥 验证 双重 签名 。 这 可 以 证 明 订货 单 在 传输 过 程 中 未 被 
自 改 , 它 是 使 用 消费 者 的 私 钥 签名 的 。 

(3) 处 理 此 订货 单 ,将 其 中 的 有 关 支 付 信息 和 数字 信封 的 部 分 转发 给 银行 支付 网 关 进 
行 认证 。 

(4) 发 回 一 个 购 货 响 应 给 持 卡 人 。 

.379 


| 守 7 持 卡 人 发 给 
持 卡 人 | | 双重 签 | | 订货 信息 | | 支付 信息 的 报 文 
的 证 书 | | 名 (DS) (OD 摘要 (PIMD) ”| | 数字 信封 多 贸易 商 的 网 货 
请 求 报 文 
1 i 
1 Hash 卫 数 由 贸易 商 转 交 给 
消费 者 的 公 钥 T 支付 网 关 
1 - 
订单 报 文 ep 3 
-| 摘要 (OIMID) | 连接 ri 
支付 与 订 比较 支付 与 订 
单 报 文摘 | 鉴别 一 | 单 报 文摘 
要 (POMD) 要 (POMD) 


图 11.28 贸易 商 收 到 持 卡 人 的 购 货 请 求 后 进行 认证 鉴别 


购 货 响 应 报 文中 有 一 个 包含 了 对 持 卡 人 的 购 货 请 求 的 确认 ,以 及 对 此 次 交易 的 ID 标识 
号 码 的 数据 包 ,贸易 商用 自己 的 签名 私 钥 对 此 包 进 行 了 签名 。 此 包 与 贸易 商 的 签名 和 签名 
证 书 被 返回 给 消费 者 ( 持 卡 人 ) 。 

当 持 卡 人 的 软件 收 到 了 贸易 商 的 购 货 响应 后 ,首先 查验 贸易 商 的 证 书 , 然 后 查证 响应 包 
中 的 签名 。 最 后 根据 响应 包 中 的 内 容 给 用 户 显示 出 一 个 界面 ,或 者 用 订货 单 的 状态 更 新 自 
己 的 数据 库 。 


11.4.7 安全 电子 交易 SET 货款 的 授权 与 支付 


1. 交易 货款 的 支付 授权 

贸易 商 在 处 理 一 个 持 卡 人 的 订货 单 的 时 候 , 还 要 向 银行 支付 网 关 申 请 对 此 次 交易 的 授 
权 (authorization)。 支 付 授权 表示 了 此 次 交易 被 用 户 信用 卡 发 卡 机 构 所 确认 ,也 确认 了 贸 
易 商 将 会 收 到 货款 ,然后 贸易 商 就 向 持 卡 人 提供 服务 或 将 货物 发 送 给 消费 者 。 支 付 授权 阶 
段 要 交换 两 个 报 文 : 授权 请 求 和 授权 响应 。 

(1) 贸易 商 向 支付 网 关 发 送 一 个 授权 请 求 , 其 中 包括 : 来 自持 卡 人 的 购 货 相关 的 信 
息 , 包 含 支付 信息 、 双 重 签名 DS .订货 单 信息 的 报 文 摘要 、 数 字 信封 。 四 贸易 商 生 成 一 个 与 
授权 相关 的 信息 ,其 中 有 一 个 授权 包 ,包含 用 贸易 商 的 私 钥 签 名 的 交易 ID 号 ,并 与 贸易 商 产 
生 的 一 个 一 次 性 对 称 密 钥 一 起 加 密 ; 以 及 一 个 数字 信封 ,是 用 支付 网 关 的 公 钥 将 一 次 性 会 话 
密 钥 加 密 的 数据 。@ 证 书 : 其 中 包括 持 卡 人 的 签名 密 钥 证 书 ( 用 于 验证 双重 签名 )、 贸 易 商 
的 签名 密 钥 证 书 ( 用 于 验证 贸易 商 的 签名 ) ,以 及 贸易 商 的 密 钥 交换 证 书 ( 供 支付 网 关 作 回应 
时 使 用 )。 

(2) 银行 支付 网 关 收 到 贸易 商 的 授权 请 求 后 ,进行 如 下 操作 : 四 验证 所 有 的 证 书 。 
回 对 授权 请 求 包 中 的 数字 信封 解密 ,获得 对 称 密 钥 后 ,解密 认证 包 。@@ 对 授权 请 求 包 中 贸易 
商 的 签名 进行 认证 。@ 对 支付 包 中 的 数字 信封 解密 ,获得 对 称 密 钥 ( 会 话 密 钥 ) ,对 支付 包 解 
密 。@ 验 证 支付 包 中 的 持 卡 人 的 双重 签名 。@ 验 证 贸易 商 发 来 的 交易 ID 号 是 否 与 消费 者 
发 来 的 支付 信息 PI 中 的 交易 ID 相同 。@ 向 信用 卡 的 发 卡 机 构 提出 请 求 ,并 获取 一 个 交易 
授权 。 

(3) 银行 支付 网 关 获 得 了 发 卡 机 构 的 授权 后 , 它 就 返回 一 个 授权 响应 报 文 给 贸易 商 ,其 
中 包含 如 下 内 容 : 四 授权 相关 的 信息 : 用 支付 网 关 的 私有 密 钥 签 名 的 一 个 授权 包 , 并 用 支 
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付 网 关 产 生 的 一 次 性 对 称 密 钥 加 密 ,以 及 用 贸易 商 的 密 钥 交换 专用 的 公 钥 加 密 的 对 称 密 钥 。 
@ 取 款 令 牌 的 信息 (Capture Token Information) : 此 令 牌 用 于 当 贸 易 商 对 客户 的 服务 结束 
后 的 支付 过 程 。 它 包括 签名 后 的 加 密 取 款 令 牌 , 一 个 数字 信封 。 贸 易 商 收 到 此 令 牌 后 对 它 
暂时 保存 不 处 理 ,而 是 在 下 一 步 获取 付款 时 将 它 返 回 给 支付 网 关 , 类 似 银 行 出 纳 的 取款 号 
牌 。 图 证 书 : 支付 网 关 的 签名 密 钥 证 书 。 

当 贸 易 商 收 到 来 自 支付 网 关 的 授权 后 ,就 向 消费 者 提供 商品 或 服务 。 

2. 交易 货款 的 拨付 

安全 电子 交易 SET 中 ,贸易 商 对 客户 的 服务 结束 后 , 即 可 从 支付 网 关 获 取 交 易 货款 。 
它 必须 与 支付 网 关 交 换 两 个 报 文 : 付款 请 求 (Capture Request) 和 付款 响应 (Capture 
Response) 。 

对 于 付款 请 求 的 报 文 ,贸易 商 产 生 一 个 付款 请 求 包 ,对 它 签 名 ,并 且 加 密 。 付 款 请 求 包 
中 含 付款 数额 和 交易 ID 号 。 报 文中 包含 早先 支付 网 关 发 给 此 次 交易 的 加 密 的 取款 令 牌 (在 
授权 响应 报 文中 ), 以 及 贸易 商 的 签名 密 钥 和 密 钥 交换 密 钥 的 证 书 (Key-Exchange Key 
Certificates ) 。 

当 银行 支付 网 关 收 到 此 付款 请 求 报 文 后 ,对 付款 请 求 包 进行 解密 和 认证 。 然 后 检测 付 
款 请 求 与 付款 令 牌 之 间 的 相关 数据 是 否 一 致 。 支 付 网 关 就 产生 一 个 决算 请 求 (Clearing 
Request) 报 文 ,通过 私有 网 络 发 送 给 发 卡 银行 ,该 银行 将 此 资金 从 持 卡 人 账户 拨 入 贸易 商 的 
账户 。 

银行 支付 网 关 发 送 一 个 付款 响应 报 文 给 贸易 商 , 报 文中 包含 了 支付 网 关 签 名 和 加 密 的 
付款 响应 数据 。 报 文中 还 含有 支付 网 关 的 签名 密 钥 证 书 。 贸 易 商 将 此 支付 响应 报 文保 存 ， 
作为 银行 收 款 的 账目 核对 凭据 。 


11.4.8 互联 网 电子 商务 中 使 用 SSL/TLS 与 SET 的 比较 


在 基于 互联 网 的 电子 商务 交易 中 可 根据 情况 选择 采用 SSL/TLS 或 SET 技术 ,本 节 比 
较 二 者 的 差别 和 适用 场合 。 

(1) 在 商务 交易 各 方 的 身份 认证 方面 : SSL/TLS 采用 数字 签名 和 数字 证 书 的 方式 实现 
客户 浏览 器 和 供 货 商 Web 服务 器 之 间 的 双向 身份 认证 ,但 不 能 实现 对 第 三 参与 方 的 身份 认 
证 (如 信用 卡 发 卡 行 ,支付 网 关 等 )。 而 SET 协议 可 以 实现 对 所 有 参与 SET 交易 的 成 员 都 
进行 身份 认证 ,包括 信用 卡 持 卡 人 ,贸易 供 货 商 ,发 卡 行 , 收 单行 ,支付 网 关 , 条 件 是 他 们 都 必 
须 持 有 数字 证 书 。 

(2) 在 安全 性 方面 : SET 规范 了 整个 商务 活动 的 流程 ,从 持 卡 人 到 供 货 商 ,到 支付 网 
关 , 到 CA 认证 中 心 , 以 及 信用 卡 决算 中 心 之 间 的 信息 流 走向 ,对 必须 采用 的 加 密 和 认证 方 
法 都 制定 了 严密 的 标准 ,从 而 可 以 最 大 限度 地 保证 交易 的 商务 性 、 服 务 性 、 协 调 性 和 集成 性 。 
而 SSL/TLS 只 对 持 卡 人 和 贸易 商 之 间 的 网 络 信息 交换 进行 认证 和 加 密 保 护 , 从 电子 商务 
特性 来 看 , SSL/TLS 不 具备 商务 性 .服务 性 ,协调 性 和 集成 性 。 因 此 SET 的 安全 性 比 
SSL 高 。 

(3) 在 网 络 协议 模型 的 位 置 方面 : SSL/TLS 是 位 于 传输 层 和 应 用 层 之 间 的 安全 协议 ， 
而 SET 位 于 应 用 层 ,对 网 络 层 以 上 各 层 也 有 涉及 。 

(4) 在 应 用 领域 方面 : SSL/TLS 主要 是 用 于 Web 客户 机 /服务 器 二 者 之 间 的 安全 服 
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务 ,例如 一 般 的 个 人 网 络 购物 和 网 络 银行 账户 访问 等 。 而 SET 是 为 互联 网 信用 卡 交易 提供 
安全 服务 ,交易 的 过 程 涉 及 交易 双方 .以 及 发 卡 行 、 收 单行 ,支付 网 关 等 多 方面 , 它 比 SSL/ 
TLS 更 完备 和 可 靠 。 

(5) SSL/TLS 协议 的 用 户 操 作 较 简单 ,独立 于 应 用 层 , 大 部 分 都 内 置 于 浏览 器 和 Web 
服务 器 中 ,可 方便 地 应 用 于 只 涉及 购销 双方 的 电子 交易 中 。SET 在 对 客户 信用 卡 及 其 支付 
能 力 进 行 认证 后 ,还 要 对 供 货 商 进行 身份 认证 ,并 且 支 付 网 关 对 资金 的 划拨 必须 要 等 收 到 客 
户 的 验 货 确 认 后 才 执 行 ,因此 更 安全 可 靠 , 但 是 SET 系统 的 建立 和 实施 较 复杂 。 


11.4.9 Visa 公司 的 “3D 安全 交易 ”(3-D Secure) 协 议 简 介 


为 了 解决 互联 网 电子 商务 中 使 用 SSL/TLS 和 SET 的 上 述 不 足 , Visa 公司 开发 了 
“3D 安全 交易 ”协议 (3-D Secure) ,用 于 提高 互联 网 信用 卡 支付 的 安全 性 和 便捷 性 ,向 客户 
提供 称 为 "Visa 验证 ”的 服务 (Verified by Visa) 。3D 安全 交易 协议 是 基于 可 扩展 标记 语言 
(eXtensible Markup Language,XML) 的 协议 ,通过 SSL 的 连接 传输 XML 报 文 ,进行 客户 
认证 ,保证 了 服务 器 和 客户 端 都 使 用 数字 证 书 进行 对 等 的 身份 验证 。 在 使 用 Visa 验证 的 交 
易 过 程 中 ,系统 自动 向 信用 卡 的 发 卡 银行 网 站 进行 申请 ,获取 对 本 次 交易 的 授权 。 每 个 发 卡 
行 可 以 使 用 任意 类 型 的 客户 认证 方法 ,但 典型 情况 仍 是 使 用 基于 口令 的 认证 方法 。 消 费 者 
希望 方便 ,快捷 ,安全 地 在 互联 网 购物 ,能 接受 的 方法 是 仅 使 用 一 个 与 信用 卡 关联 的 秘密 口 
令 , 而 不 愿 办 理 复杂 的 数字 证 书 。Visa 验证 协议 建议 将 银行 的 验证 网 页 加 载 到 一 个 在 线 网 
页 的 会 话 中 。 这 样 一 来 ,银行 的 支付 系统 能 够 为 大 多 数 安全 交易 承担 责任 。 

“3D 安全 交易 "协议 (3-D Secure) 解 决 了 网 络 商务 交易 中 三 方 身份 的 认证 、 使 用 信用 卡 
支付 方便 、 付 款 安 全 可 靠 等 问题 。 详 细 介 绍 参 看 Visa Authenticated Payment Program 
(Chttps:// partnernetwork. visa. com)。 此 协议 也 被 Master Card 公司 采纳 ,向 客户 提供 称 
为 "Master Card Secure Code” 的 服务 。 


11.5 本 章 要 点 


(1) IPSec 是 互联 网 工程 任务 组 (IETF 设计 的 一 组 协议 ,在 互联 网 层 提 供 IP 包 的 安 
全 。 它 有 两 种 工作 模式 : 传输 模式 和 隧道 模式 。IPSec 的 传输 模式 对 传输 层 的 信息 提供 保 
密 服务 ,对 IP 头 部 内 的 信息 不 保密 ,用 于 终端 对 终端 (主机 对 主机 ) 的 数据 保密 传输 服务 。 
IPSec 的 隧道 模式 对 要 传输 的 整个 IP 包 进 行 加 密封 装 ,包括 IP 头 部 信息 。 可 用 于 在 互联 网 
上 连接 多 个 局 域 网 ,建立 VPN ,对 通过 互联 网 相连 的 LAN 之 间 的 数据 提供 安全 保密 。 

(2) IPSec 定义 了 两 个 协议 : 认证 头 部 协议 和 封装 安全 载荷 协议 ,用 于 提供 IP 层 的 认 
证 或 加 密 服 务 。IPSec 需要 在 两 个 主机 之 间 建 立 一 个 称 为 安全 关联 组 的 联盟 关系 ,使 用 一 
组 称 为 安全 关联 组 数据 库 SADB 的 SA。 

(3) 互联 网 密 钥 交换 (IKE) 是 设计 了 建立 数据 关联 组 的 协议 ,为 IPSec 的 进入 和 外 出 的 
连接 建立 SA 关系 。IKE 协议 建立 在 Qakley、SKEME 和 ISAKMP3 个 协议 之 上 。 

(4) 私有 网 络 (Private Network) 是 单位 和 企业 内 部 的 专 网 ,使 用 IP 私 网 地 址 。 内 联网 
Cintranet) 是 使 用 IP 协议 和 全 球 IP 地 址 的 私有 网 络 。 如 果 一 个 内 联网 允许 授权 的 内 网 用 
户 访问 外 部 互联 网 资源 ,那么 这 个 网 络 称 为 外 联网 (Extranet) 。 
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(5) 传输 层 安 全 协议 在 传输 层 对 那些 利用 TCP 等 协议 的 应 用 提供 终端 对 终端 的 安全 
服务 。 传输 层 安全 协议 主要 有 两 个 : 安全 套 接 层 和 传输 层 安 全 协议 ,后 者 是 前 
者 的 IETF 版 本 。 

(6) SSL/TLS 对 应 用 层 产 生 的 数据 提供 的 服务 包括 报 文 分 段 .压缩 .加 密 和 完整 性 验 
证 。 如 果 它 接收 并 处 理 的 应 用 层 数据 属于 HTTP 协议 ,就 成 为 HTTPS, 服 务 器 端口 443。 
SSL/TLS 的 握手 过 程 中 ,利用 密 钥 交 换 、Hash 摘要 和 加 密 算 法 的 不 同 组 合 , 构 成 了 每 个 会 
话 的 加 密 方案 组 。 每 个 加 密 方案 组 的 名 称 由 这 些 算 法 的 名 字 组 合 而 成 。 

(7) 在 安全 电子 邮件 中 ,加 密 算法 、 秘 密 信息 与 邮件 报 文 一 起 传输 。 常 用 的 安全 邮件 协 
议 是 (pretty good privacy,PGP) 和 S/MIME, 它们 提供 电子 邮件 的 保密 、 完 整 性 和 认证 服 
务 。 在 PGP 邮件 的 安全 报 文 交换 中 ,用 户 需 要 有 一 个 公 钥 环 ,每 个 公 钥 属 于 一 个 邮件 接收 
者 。PGP 也 定义 了 一 个 由 用 户 自己 的 多 个 私 钥 / 公 钥 对 组 成 的 环 , 用 户 可 以 随时 改变 自己 
的 密 钥 对 。PGP 用 户 可 以 使 用 不 同 的 ID( 邮 件 地 址 等 ) 对 不 同 的 人 群 通信 。PGP 证 书 与 
X. 509 不 同 。 在 X. 509 中 ,从 最 可 信任 的 权威 证 书 认 证 中 心 到 任何 一 个 分 支 CA 的 关系 路 
径 是 单一 的 。 在 PGP 中 ,在 不 同 信任 级 别 的 认证 之 间 有 多 条 关系 路 径 。 当 PGP 用 户 从 介 
绍 人 那里 接收 了 一 个 证 书后 ,将 它 存 放 在 受 认 证 人 的 名 下 ,给 这 个 证 书 指定 一 个 信任 级 别 。 

(8) SET 系统 可 以 在 网 络 商务 的 信用 卡 持 卡 人 、 贸 易 商 发 卡 银行 的 支付 网 关 之 间 提 供 
交易 订货 与 支付 信息 的 保密 ,保障 传输 的 商务 信息 不 被 算 改 ,提供 对 贸易 商 \ 信 用 卡 账号 和 
持 卡 人 的 身份 认证 ,保障 信用 卡 货款 支付 的 可 靠 性 。SET 的 持 卡 人 使 用 双重 签名 来 保障 对 
订货 单 信息 (提供 给 贸易 商 ) 和 支付 信息 (由 贸易 商 转 给 银行 支付 网 关 ) 的 完整 性 ,同时 保证 
支付 信息 不 被 贸易 商 知 道 ,而 订货 单 信息 不 被 支付 网 关 银 行 知道 。 

(9) 为 了 解决 互联 网 电子 商务 中 使 用 SSL/TLS 和 SET 的 不 足 , Visa 公司 开发 了 
“3D 安全 交易 (3-D Secure) ”协议 ,用 于 提高 互联 网 Visa 信用 卡 支 付 的 安全 性 和 便捷 性 ,向 
客户 提供 称 为 "Visa 验证 (Verified by Visa) ”的 服务 。3D 安全 交易 协议 是 基于 XML 的 协 
议 , 它 通过 SSL 的 连接 传输 XML 报 文 , 持 卡 人 和 贸易 商 操作 方便 ,在 持 卡 人 、 贸 易 商 和 银行 
支付 网 关 三 方 之 间 进 行 了 可 靠 的 认证 ,付款 安全 和 信息 保密 。 


习题 与 实践 


1. IPSec 协议 是 否 要 使 用 CA 服务 ? 试 解释 之 。SSL 协议 和 PGP 协议 呢 ?( 提 示 : 
IPSec 用 于 互联 网 上 固定 的 两 个 通信 主机 之 间 的 安全 传输 服务 ,双方 有 固定 的 IP 地 址 ,并 
可 事先 约定 对 称 加 密 密 钥 ,因此 不 需要 采用 CA 认证 。SSL 和 PGP 的 通信 各 方 的 IP 地 址 
等 不 是 固定 的 ,并 且 每 次 通信 具有 随机 性 ,要 采用 不 同 的 会 话 密 钥 ,因此 需要 利用 CA 证 书 


对 通信 各 方 进行 认证 。) 
2. 能 否 利 用 IPSec 的 传输 模式 构建 VPN? 试 解释 之 。( 提 示 : IPSec 的 隧道 模式 才能 
构建 VPN) 


3. IPSec 中 采用 密码 参数 组 吗 ? PGP 中 呢 ? 试 解释 之 。( 提 示 : IPSec 的 通信 双方 是 
固定 的 ,加 密 方法 也 是 事先 约定 的 ,因此 不 需要 采用 密码 参数 组 的 方式 来 约定 加 密 参 数 。 
PGP 中 每 次 通信 前 需要 协商 约定 一 组 密码 参数 组 。) 

4. 假设 一 个 单位 组 织 使 用 了 VPN 将 多 个 远 端 局 域 网 互 连 , 对 于 该 组 织 中 的 用 户 小 李 

。383 。 


来 说 ,为 了 与 同一 单位 组 织 中 的 另 一 个 用 户 小 赵 进行 通信 ,小 李 是 否 还 需要 使 用 加 密 或 其 他 
的 安全 机 制 (提示 : 仅 取决 于 内 网 的 安全 性 )? 

5. 假设 Internet 上 的 每 个 人 都 使 用 PGP, 请 问 , 一 条 PGP 消息 能 发 送 到 任意 一 个 
Internet 地 址 ,并 且 被 所 有 涉及 的 人 正确 解码 吗 ? 为 什么 (提示 : 否 , 因 为 不 同 的 通信 双方 要 
采用 不 同 的 加 密 密 钥 )? 

6. SSL/TLS 传输 层 安全 协议 涉及 两 个 随机 数 和 一 个 预 设 主 密 钥 。 请 问 ,使 用 这 两 个 
临时 值 有 何 价值 (如 果 有 的 话 )? (提示: 防止 重 放 攻 击 ) 


7. IPSec 需要 使 用 一 个 称 为 的 信 令 协议 来 建立 两 台 主机 之 间 的 逻辑 连接 。 
a. AH b. SA c. PGP TLS 
8. 是 在 IP 层 提供 安全 的 一 组 协议 。 
LS b. SSL c. PGP d. IPSec 
9. 是 IP 层 的 安全 协议 , 它 只 能 提供 完整 性 和 信 源 鉴别 功能 。 
a. AH b. PGP c. ESP d. IPSec 
10. VPN 使 用 来 保证 保密 性 。 
a. IPSec b. 隧道 c. (a) 和 (b) d. 以 上 都 不 正确 
11. 在 VPN 中 ,对 进行 加 密 。 
a. 内 网 数据 报 b. 外 网 数据 报 
c. 内 网 和 外 网 数据 报 d. 内 网 和 外 网 数据 报 都 不 


12. VPN 的 拓扑 结构 ,如 防火 墙 到 笔记 本 计算 机 (Firewall-to-laptop)、LAN-to-LAN、 
嵌 套 的 拓扑 结构 以 及 隧道 拓扑 结构 。 请 画 出 以 上 各 拓扑 结构 的 示意 图 ,并 加 以 解释 。 

13. SET 的 双重 签名 作用 是 什么 ? 它 是 怎样 实现 的 ? 

14. 列 出 SET 系统 的 涉及 交易 的 各 有 关 角 色 , 画 出 它们 之 间 的 关系 图 。 

15. telnet 和 FTP 能够 在 TLS 上 运行 吗 ? 

16. 有 很 多 种 不 同 的 技术 方案 可 以 将 企业 的 远 端 局 域 网 互 连 实现 VPN, 从 技术 的 复杂 
性 .安全 性 、. 运 维 成 本 等 方面 比较 各 种 技术 的 优点 和 缺点 ,它们 各 自 使 用 于 什么 应 用 场合 ? 

17. 分 析 在 互联 网 电子 商务 中 采用 SET 协议 的 优点 和 缺点 。 如 果 在 电子 商务 交易 中 
采用 SSL/TLS 协议 ,那么 能 够 实现 电子 商务 交易 的 哪些 功能 ?有 哪些 电子 商务 交易 的 功 
能 不 能 用 SSL/TLS 协议 实现 ? 

18. 基于 SSL/TLS 的 电子 邮件 系统 有 什么 优点 和 不 足 ? 

19. 利用 Wireshark 网 络 协议 分 析 工 具 捕 获 自己 发 送 的 电子 邮件 的 网 络 数 据 ,从 中 能 
否 获 取 自 己 的 电子 邮箱 地 址 、 用 户 名 口令 和 邮件 内 容 ? 再 捕获 与 分 析 基 于 SSL/TLS 协议 
的 电子 邮件 数据 ,从 中 能 获取 哪些 信息 ? 

20. 分 析 PGP 的 优点 和 缺点 ,可 以 实现 哪些 功能 ? 为 什么 PGP 可 以 独立 地 用 于 对 文 
件 的 加 密 、 信 源 认 证 和 完整 性 校 验 ? 

21. 访问 PGP 的 网 站 http://www. pgp. cn/GetWelcomeScreen. jsp 或 http://www. 
symantec. com, 从 该 网 站 下 载 和 安装 PGP 的 试用 版 软件 ,操作 实验 公 钥 和 私 钥 的 产生 过 
程 、 报 文摘 要 的 实现 过 程 以 及 对 文件 的 加 密 过 程 。 然 后 再 从 密 文 解密 还 原 出 明文 。 
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第 12 章 ”P2P 对 等 网 络 应 用 与 上 网 行为 管理 


网 络 应 用 系统 的 构架 可 分 为 两 种 模式 : 客户 /服务 器 模式 和 P2P 对 等 网 络 模式 。 在 

图 1.5 中 简单 介绍 了 P2P 对 等 网 络 (peer-to peer-network) 应 用 系统 ,本 章 对 P2P 网 络 的 基 

本 概念 、 应 用 领域 和 对 网 络 信息 安全 带 来 的 监管 问题 等 进行 讨论 。 

互联 网 应 用 的 客户 机 /服务 器 (Client/Server) 模 式 具 有 如 下 特点 : 整个 网 络 应 用 完 

全 依赖 于 中 心 点 的 服务 器 ,所 有 资源 都 保存 在 服务 器 上 ,客户 机 主动 地 向 服务 器 发 送 请 求 ， 

而 服务 器 返回 响应 并 提供 服务 ,客户 机 相当 于 一 个 高 性 能 的 远程 输入 /输出 设备 ,服务 器 端 

的 性 能 是 决定 整个 网 络 服务 质量 的 重要 因素 ,服务 器 端 是 整个 网 络 通信 的 瓶颈 ,并 成 为 网 络 

攻击 的 首选 目标 。@ 由 服务 器 集中 规范 地 存储 和 管理 信息 :发布 信息 和 提供 服务 都 是 服务 

器 管理 者 能 够 控制 和 掌握 的 ,不 容易 出 现 失 控 的 状态 。@ 如 果 得 不 到 服务 器 的 响应 ,客户 端 

的 资源 将 会 被 闲置 ,分 布 在 客户 端的 信息 资源 利用 率 不 高 。 

互联 网 P2P 对 等 网 络 应 用 系统 是 一 种 分 布 式 结构 ,不 依靠 传统 网 络 中 服务 器 与 客户 机 

之 间 点 对 多 点 的 路 由 ,弱化 了 服务 器 的 功能 ,有 些 应 用 系统 中 甚至 取消 了 服务 器 ,使 网 络 从 

原来 的 "中心 化 ”模式 走向 了 “边缘 化 "模式 。 其 特点 如 下 : 

。 分散 化 : P2P 技术 使 得 网 络 中 的 资源 和 服务 分 散在 所 有 参与 节点 上 ,信息 搜索 、 传 

输 和 服务 的 实现 都 可 以 直接 在 节点 之 间 进 行 , 每 个 对 等 节点 既是 服务 的 提供 者 又 是 

服务 的 获取 者 ,参与 的 用 户 越 多 ,其 访问 速度 越 快 ,效率 越 高 ,弱化 甚至 取消 了 服务 

器 的 功能 。 

可 扩展 性 : 在 P2P 应 用 系统 中 ,大 量 用 户 可 以 随时 加 入 系统 ,随时 退出 或 失效 ,这 不 

会 影响 网 络 的 主要 性 能 。 随 着 大 量 用 户 的 加 入 ,虽然 服务 需求 增加 了 ,但 其 分 散 化 

的 特点 使 得 网 络 整体 的 服务 能 力 和 资源 容量 也 同步 地 增加 了 ,能 较 好 地 满足 用 户 的 

需求 。 从 理论 上 来 说 ,全 分 布 式 结构 化 的 P2P 网 络 的 可 扩展 性 几乎 可 认为 是 无 

限 的 。 

自 组 织 性 : 互联 网 上 可 能 随时 会 出 现 节点 失效 、 网 络 拥塞 .网 络 中 断 等 异常 事件 ,这 

些 事件 都 会 影响 系统 的 完整 性 和 提供 服务 的 持续 性 。 在 P2P 应 用 系统 构架 中 ,每 个 

节点 既是 服务 的 提供 者 又 是 服务 的 获取 者 ,所 以 部 分 节点 失效 或 遭 到 破坏 对 其 他 节 
点 的 影响 很 小 ,P2P 网 络 会 在 部 分 节点 失效 后 ,自动 调整 网 络 的 拓扑 结构 ,保证 节点 
之 间 的 连通 性 。 

。 高 性 能 : 性 能 优势 是 P2P 技术 被 广泛 关注 的 主要 原因 ,在 P2P 架构 中 ,可 以 有 效 地 
利用 互联 网 中 的 各 个 普通 节点 实现 高 性 能 计算 和 海量 存储 的 目的 ,容易 实现 整个 网 
络 的 负载 均衡 。 

。 信息 安全 隐患 : 各 种 P2P 应 用 系统 受到 了 互联 网 用 户 的 广泛 欢迎 ,并 在 很 多 应 用 领域 
得 到 迅速 发 展 。 但 是 P2P 应 用 带 来 的 安全 问题 也 是 非常 严重 的 ,突出 的 几 个 方面 是 ， 
@ 产 生 大 量 的 网 络 数据 流量 , 易 造 成 局 部 网 络 的 拥塞 。@ 对 P2P 应 用 中 泛滥 传输 的 音 
像 和 文字 作品 等 的 知识 产权 保护 较 难 控制 。@ 对 机 密 信息 的 网 络 泄露 ,网 络 攻 击 源 的 
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追溯 ,网 络 流量 的 安全 识别 和 监控 管理 较 困难 。@ 在 一 些 发 达 国 家 已 将 P2P 技术 的 研 
究 和 开发 作为 军事 通信 和 和 网络 战争 的 重要 发 展 领域 。 
当前 在 互联 网 中 迅速 发 展 的 P2P 网 络 技 术 的 应 用 领域 包括 分 布 式 科学 计算 、 互 联网 文 
件 共 享 、 互 联网 流 媒体 直播 、 流 媒体 点 播 .IP 层 语音 通信 、 网 络 游戏 平台 等 。 本 章 从 网 络 信 
息 安 全 管理 的 角度 对 P2P 技术 的 基本 概念 作 简单 的 分 析 与 介绍 。 


12.1 P2P 对 等 网 络 应 用 系统 的 结构 


互联 网 P2P 对 等 应 用 系统 的 构架 通常 在 应 用 层 实 现 ,由 传输 层 UDP 或 TCP 协议 以 及 
网 络 层 IP 等 协议 支持 ,因此 P2P 应 用 系统 构架 的 实现 方案 是 与 具体 的 物理 网 络 结构 无 关 
的 (注意 区 别 , 第 3.5 节 介 绍 的 IEEE 802. 11 无 线 局 域 网 的 ad hoc 对 等 网 络 是 在 数据 链 路 
层 以 下 实现 的 ,只 适用 于 构建 小 型 对 等 网 络 ) 。P2P 系统 的 结构 由 资源 检索 技术 和 资源 共享 
传输 的 方式 所 决定 ,负责 合理 地 组 织 网 络 中 的 节点 以 及 提供 共享 的 信息 资源 ,以 实现 在 
P2P 网 络 中 高 效 地 发 送 查 询 请 求 和 应 答 报 文 ,在 保证 信息 检索 效率 的 情况 下 , 尽 可 能 地 减少 
查询 所 引发 的 各 种 开销 。 

P2P 对 等 网 络 的 分 类 方法 有 两 种 : 一 种 是 按照 是 否 遵 循 统一 的 查询 规则 和 检索 算法 分 为 
结构 化 P2P 网 络 (Structured Peer-to-Peer Networks) 和 非 结 构 化 P2P 网 络 (Unstructured 
Peer-to-Peer Networks)。 另 一 种 是 按照 网 络 节 点 之 间 的 工作 关系 是 否 对 等 模式 或 类 
似 C/S 模式 划分 ,因此 目前 常见 的 P2P 网 络 可 分 为 中 心 式 P2P 网 络 、 非 结构 化 的 纯 P2P 网 
络 .结构 化 的 纯 P2P 网 络 、 混 合式 P2P 网 络 等 。 


12.1.1 非 结构 化 的 P2P 网 络 


在 一 个 非 结构 化 的 P2P 网 络 中 ,对 网 络 节点 之 间 不 提供 任何 组 织 协调 和 优化 网 络 连接 
的 算法 。 网 络 节点 之 间 的 重 县 式 连接 (overlay links) 可 以 随意 地 建立 。 这 样 的 网 络 很 容易 
构建 ,因为 当 一 个 新 的 对 等 机 希望 加 入 网 络 时 ,可 以 复制 另 一 个 节点 中 已 有 的 连接 来 构建 自 
己 的 连接 。 在 非 结 构 化 的 P2P 网 络 中 ,如 果 一 个 对 等 机 希望 在 网 络 上 查找 一 个 数据 文件 ， 
它 将 查询 请 求 泛 洪 式 地 广播 发 送 到 网 络 中 , 尽 可 能 多 地 找到 存 有 该 文件 的 对 等 机 地 址 。 

这 种 网 络 的 主要 缺点 是 发 出 的 查询 请 求 并 不 能 总 是 获得 响应 。 对 那些 较 普及 的 文件 可 
能 存放 在 很 多 对 等 机 中 ,任何 对 等 机 发 出 查找 该 文件 的 请 求 后 都 可 以 获得 多 个 查询 结果 。 
但 是 如 果 一 个 对 等 机 要 找 的 数据 文件 只 在 极 少 的 其 他 对 等 机 中 存 有 ,那么 它 泛 洪 发 送 的 查 
询 请 求 可 能 得 不 到 任何 响应 , 因为 对 等 机 地 址 与 它 管 理 的 文件 之 间 没 有 任何 关联 
(Correlation) ,因而 不 能 保证 泛 洪 发 送 的 查询 能 够 找到 存 有 所 需 数 据 文件 的 对 等 机 地 址 。 
泛 洪 发 送 的 查询 请 求 也 会 导致 网 络 流量 的 增加 ,因此 这 样 的 网 络 的 搜索 效率 是 较 低 的 。 非 
结构 化 的 P2P 网 络 不 提供 任何 组 织 协调 和 优化 网 络 连接 的 算法 。 有 如 下 三 种 非 结构 化 的 
网 络 模型 。 

1. 非 结 构 化 的 中 心 式 P2P 系统 

在 “中 心 式 的 P2P(Centralized Peer-to-Peer)” 系 统 中 ,设置 了 一 个 中 心服 务 器 ,用 于 提 
供 索 引 和 引导 整个 系统 。 虽 然 这 与 结构 化 的 P2P 系统 相同 ,但 是 对 等 机 之 间 的 连接 不 取决 
于 任何 算法 。 
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中 心 式 P2P 网 络 也 被 称 为 非 纯 粹 的 P2P 网 络 ,因为 它 在 形式 上 需要 一 个 中 心服 务 器 来 
提供 共享 信息 的 查询 和 存放 地 址 信息 ,每 个 节点 向 中 心服 务 器 查询 ,然后 连接 到 它 所 提供 的 
存放 地 址 ,下 载 自己 需要 的 资源 和 实现 节点 之 间 的 通信 。 采 用 中 心 式 P2P 的 网 络 应 用 系统 
被 称 为 第 一 代 P2P 系统 ,其 典型 的 应 用 系统 是 Napster。 

Napster 是 1999 年 美国 波士顿 大 学 一 年 级 新 生 Shawn Fanning 编写 的 MP3 音乐 文件 
共享 服务 程序 ,Napster 本 身 不 提供 MP3 文件 的 下 载 , 它 把 存放 所 有 共享 的 MP3 文件 的 网 
络 节点 地 址 集中 放 在 一 个 中 心服 务 器 上 ,而 MP3 文件 则 存放 在 各 对 等 机 网 络 节点 中 。 需 要 
文件 的 节点 首先 向 服务 器 查询 搜索 到 自己 需要 的 文件 存放 地 址 ,然后 再 通过 该 地 址 直接 连 
接 到 相应 的 节点 下 载 获 取 文 件 ,其 网 络 结构 如 图 12. 1 所 示 。 


图 12.1 非 结构 化 的 中 心 式 P2P 网 络 架构 (Napster) 


Napster 的 网 络 应 用 发 展 到 最 高 峰 时 有 8000 万 注册 用 户 .但 是 由 于 这 个 系统 存在 对 音 
乐 软件 的 侵权 和 版 权 问 题 ,而 被 美国 唱片 工业 协会 (Recording Industry Association of 
America, RIAA) 告 上 法 庭 , Napster 败诉 ,于 2002 年 Napster 宣布 破产 。 从 图 12. 1 中 可 看 
出 ,中 心 式 P2P 网 络 大 大 提高 了 网 络 资源 共享 的 效率 ,但 是 其 也 存在 很 多 问题 ,主要 表 
现在 : 
。 可 扩展 性 差 。 中 心服 务 器 需要 为 所 有 用 户 服 务 ,提供 查询 和 应 答 信息 。 需 要 有 足够 
大 的 内 存 和 磁盘 空间 维护 和 搜索 文件 列表 , 当 访 问 服务 器 的 用 户 量 达 到 “饱和 ”时 ， 
若 再 有 其 他 用 户 接 人 将 会 影响 网 络 性 能 。 
。 可 靠 性 低 。 中 心 式 P2P 网 络 需 要 有 中 心服 务 器 ,并 且 要 求 服 务 器 是 不 间断 运行 的 ， 
如 果 服 务 器 关闭 ,整个 网 络 也 会 随 着 它 的 关闭 而 停止 运行 。 
。 对 数字 作品 的 侵权 ,版权 问题 。 由 于 系统 中 使 用 了 索引 服务 器 ,大 量 有 版 权 的 资料 
可 以 轻易 被 找到 并 下 载 ,容易 引起 版 权 纠纷 。 
2. 非 结构 化 的 纯 P2P 系统 
在 “ 纯 P2P 系统 (Pure Peer-to-Peer System)” 中 .整个 网 络 都 由 完全 对 等 的 主机 节点 构 
成 ,只 有 一 个 路 由 层 ,没有 任何 节点 具有 特殊 的 网 络 管理 与 协调 的 基础 服务 功能 。 纯 P2P 系 
统 中 没有 客户 机 和 服务 器 的 概念 ,只 有 对 等 节点 ,每 个 节点 可 以 向 其 他 节点 提供 服务 ,也 可 
作为 其 他 节点 的 客户 ,将 客户 机 和 服务 器 的 功能 合 为 一 体 。 在 纯 P2P 网 络 中 也 没有 中 心路 
由 器 。 这 种 非 中心 化 的 P2P 网 络 与 传统 的 中 心 化 的 客户 机 /服务 器 的 模式 不 同 。 纯 P2P 应 
用 系统 的 实例 是 用 于 P2P 文件 共享 的 Freenet 和 早期 版 本 的 Gnutella v0.4 等 。 
图 12.2 为 Gnutella 网 络 的 工作 模式 ,属于 非 结构 化 的 纯 P2P 文件 共享 网 络 。 用 户 将 
可 供 共享 的 文件 放 在 网 络 节点 主机 的 硬盘 上 供 其 他 用 户 以 对 等 方式 下 载 ,需要 使 用 一 个 
Gnutella 软件 连接 到 Gnutella 网 络 。Gnutella 网 络 没有 中 央 服 务 器 ,使 用 分 布 式 的 查询 方 
法 。 有 很 多 程序 可 用 于 访问 Gnutella 网 络 。 
»。 387 。 


图 12.2 非 结 构 化 的 纯 P2P 网 络 (Gnutella) 


例如 ,图 中 的 节点 1 想 要 查询 和 下 载 某 个 数据 文件 ,把 查询 报 文 发 送 给 它 所 知道 的 
Gnutella 节点 2。 节 点 2 搜索 本 机 硬盘 查看 是 否 存 有 对 应 的 文件 ,如 果 有 就 将 文件 名 和 本 
机 的 IP 地 址 发 送 给 查询 请 求 者 ,查询 者 与 它 建立 连接 并 下 载 所 需要 的 文件 。 如 果 节 点 2 内 
没有 查询 的 文件 ,就 把 该 查询 报 文 发 送 给 它 所 知道 的 Gnutella 节点 4 和 节点 5, 节 点 4 和 节 
点 5 重复 节点 2 的 过 程 。 为 了 防止 查询 请 求 报 文 无 限制 地 在 网 络 上 循环 扩散 地 传 发 下 去 ， 
在 每 个 查询 请 求 报 文中 都 设置 了 一 生存 期 (Time To Live ,TTL) 值 限制 ,每 当 查 询 报 文 被 
转发 一 次 ,就 将 TTL 值 减 1, 当 TTL 为 0 时 ,终止 查询 报 文 的 转发 。 一 个 查询 请 求 在 停止 
传播 之 前 可 能 会 传播 6 一 7 级 。 
此 例 可 见 , 非 结构 化 的 纯 P2P 网 络 是 动态 变化 的 ,有 较 好 的 容错 能 力 和 可 用 性 ,也 可 以 
很 方便 地 向 多 个 网 络 节点 的 计算 机 发 送 查 询 报 文 , 但 也 存在 很 多 问题 ,主要 表现 在 : 
。 发 现 的 准确 性 差 。 该 系统 的 查询 报 文中 采用 了 TTL 控制 查询 的 转发 次 数 ,没有 确 
定 的 拓扑 结构 ,不 能 保证 所 需 资源 的 发 现 与 获得 。 

。 可 扩展 性 差 。 该 网 络 采 用 泛 洪 查 询 机 制 , 随 着 网 络 中 参与 节点 数量 的 增加 ,将 会 给 
网 络 带 来 沉重 的 流量 负载 。 非 结构 化 的 纯 P2P 网 络 适用 于 中 小 型 的 P2P 网 络 
应 用 。 

3. 非 结构 化 的 混合 式 P2P 系统 

在 “混合 式 P2P(Hybrid Peer-to-Peer System) ”系统 中 ,可 设置 具有 系统 管理 与 协调 基 
础 功能 的 多 个 超 节点 (super-node) ,它们 为 系统 提供 信息 查询 索引 等 基础 性 的 服务 。 混 合 
式 P2P 系统 将 网 络 节点 分 为 两 类 : 客户 节点 和 重 释 覆盖 节点 (overlay nodes, 即 超级 节点 ) 。 
每 个 节点 主机 能 够 按照 网 络 的 临时 的 要 求 工作 ,能 够 成 为 用 于 协调 P2P 系统 的 重 释 覆 盖 网 
络 (overlay network) 的 一 部 分 。 这 种 对 节点 的 划分 ,是 为 了 解决 早期 纯 P2P 网 络 的 可 扩展 
性 差 的 问题 。 混 合式 P2P 系统 的 实例 是 改进 后 的 Gnutella2 和 Kazaa 网 络 等 。 

混合 式 P2P 网 络 结合 了 集中 式 P2P 网 络 快速 检索 资源 和 分 布 式 P2P 网 络 抗 攻击 的 优 
点 ,在 分 布 式 模式 的 基础 上 ,将 用 户 节 点 按 能 力 分 类 : 普通 节点 为 用 户 节点 ,而 超级 节点 是 
pd 速度 快 . 内 存 充足 、 存 储 空间 大 、 网 络 带 宽 足够 的 节点 。 用 户 节点 可 以 通过 超 

级 节点 搜索 信息 ,如 果 与 用 户 相 连 的 超级 节点 搜索 到 的 信息 不 够 ,该 超级 节点 则 向 它 相 邻 的 
超级 节点 发 出 请 求 ,超级 节点 之 间 构 成 了 一 个 高 速 的 转发 展 , 超 级 节点 与 其 所 负责 的 用 户 节 

最 典型 的 混合 式 P2P 网 络 是 Skype 即时 通信 系统 .Skype 是 现在 流行 的 网 络 可 视 电 话 
软件 系统 , 它 之 所 以 如 此 成 功 是 因为 集中 了 Napster 和 Gnutella 的 优点 ,在 结构 上 它 使 用 了 
Gnutella 的 全 分 布 式 结构 ,提高 了 系统 的 扩展 能 力 。 由 于 可 以 不 需要 中 央 索 引 服务 器 ,而 是 
自动 地 把 性 能 好 的 对 等 机 作为 超级 节点 ,超级 节点 存储 着 离 它 比 较 近 的 其 他 用 户 节点 信息 ， 
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图 12.3 混合 式 P2P 网 络 查询 流程 (skype) 


而 这 些 超级 节点 之 间 再 连 成 一 个 高 速 的 转发 展 。 由 于 超级 节点 具有 很 强 的 索引 能 力 , 使 得 
搜索 效率 大 大 提高 了 ,Skype 的 查询 过 程 如 图 12. 3 所 示 。 

另外 一 类 混合 P2P 网 络 是 先 通 过 中 心 索引 服务 器 作为 信息 源 检索 的 引导 手段 ,而 在 数 
据 传输 时 使 用 P2P 机 制 的 网 络 。 这 类 网 络 称 为 “中 心 化 的 网 络 ”, 没 有 中 心服 务 器 它们 就 不 
能 工作 。 例 如 eDonkey 网 络 等 。 

4. 类 P2P 应 用 系统 

上 面 讨论 的 是 当前 对 P2P 网 络 技术 的 定义 。 然 而 ,P2P 对 等 网 络 应 用 的 基本 概念 可 从 
早期 的 软件 系统 和 网 络 讨 论 中 看 到 ,例如 最 早 的 互联 网 官方 文件 RFC 1 中 的 论述 等 。 

例如 ,分 布 式 的 新 闻 发 布 系统 可 以 认为 是 早期 的 P2P 应 用 ,如 Usenet 网 络 新 闻 系 统 ， 
当 用 户 或 客户 读 取 或 上 传 发 布 新 闻 时 ,从 他 们 的 角度 看 这 是 一 个 客户 机 /服务 器 模型 。 然 而 
当 整 个 网 络 的 所 有 新 闻 服 务 器 之 间 互 相交 换 和 传送 新 闻 报 文 时 ,它们 之 间 是 对 等 机 的 角色 。 
同样 的 概念 也 体现 在 广泛 使 用 的 SMTP 邮件 系统 中 ,一 个 邮件 服务 器 与 它 的 每 个 用 户 之 间 
的 关系 是 客户 机 /服务 器 的 模式 ,而 在 核心 网 络 中 ,各 个 邮件 服务 器 之 间 通 过 邮件 传输 代理 
软件 相互 转发 电子 邮件 时 是 对 等 机 的 关系 。 

对 于 上 述 这 些 具 有 类 似 对 等 概念 的 应 用 系统 ,可 以 将 它们 称 为 “类 P2P 系统 (Peer-to- 


peer-like systems)”。 
12.1.2 结构 化 的 P2P 网 络 系统 


结构 化 的 P2P 网 络 使 用 一 个 统一 的 协议 ,以 保证 任何 一 个 节点 都 可 以 有 效 地 路 由 查询 
到 持 有 所 需 文件 的 其 他 对 等 机 ,无 论 持 有 该 文件 的 对 等 机 如 何 稀少 。 要 实现 此 目标 ,就 需要 
采用 一 个 结构 化 的 重 到 连接 的 模式 。 至 今 , 常 用 的 结构 化 P2P 网 络 的 类 型 是 “分 布 式 散 列 
表 (Distributed Hash Table, DHT)”, 在 系统 中 ,首先 给 每 个 共享 文件 产生 一 个 “统一 的 
hash 值 ”, 并 将 该 值 分 配给 持 有 该 文件 的 对 等 机 , 供 检索 查询 和 文件 下 载 。 

全 分 布 式 结构 化 P2P 网 络 的 出 现 主要 是 为 了 解决 非 结 构 化 P2P 网 络 的 信息 发 现 准确 
性 差 和 扩展 性 差 的 问题 。 它 与 非 结构 化 的 P2P 网 络 的 区 别 主 要 在 查找 信息 的 机 制 上 , 非 结 
构 化 P2P 网 络 是 基于 广播 进行 查找 ,而 结构 化 P2P 网 络 则 是 利用 DHT 进行 查找 。DHT 
是 由 广 域 范 围 的 大 量 网 络 节点 共同 维护 的 巨大 的 散 列表 ,每 个 网 络 节点 都 会 分 配 到 一 个 唯 
一 的 节点 标识 符 (Node ID, 可 利用 对 等 机 网 卡 的 IP 地 址 和 MAC 物理 地 址 作为 节点 的 
ID) ,数据 文件 等 资源 对 象 也 会 通过 散 列 算法 获得 一 个 唯一 的 资源 标识 符 (Object ID), 且 该 
资源 被 存在 网 络 节点 ID 或 是 与 它 相 近 的 节点 上 .还 允许 网 络 节点 动态 地 加 入 和 退出 系统 。 

目前 DHT 是 全 分 布 式 结构 化 P2P 网 络 采 用 的 主流 技术 ,在 基于 DHT 的 P2P 网 络 中 
各 个 节点 只 需要 存储 相 邻 节点 信息 而 不 需要 维护 整个 网 络 中 所 有 节点 的 信息 ,这 样 可 以 不 
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用 泛 洪 查询 算法 而 只 需要 较 少 的 路 由 信息 就 可 以 找到 目标 节点 ,找到 自己 需要 的 资源 。 目 
前 已 有 的 全 分 布 式 结构 化 P2P 网 络 有 加 州 大 学 伯克利 分 校 的 Tapestry 与 CAN ,微软 研究 
院 的 Pastry 和 麻 省 理工 学 院 MIT 的 Chord 等 。 

虽然 基于 DHT 的 全 分 布 式 结构 化 P2P 网 络 可 有 效 地 解决 资源 发 现 的 准确 性 和 可 扩展 
性 问题 ,但 由 于 DHT 允许 节点 动态 地 加 入 或 退出 系统 易 造 成 网 络 波动 ,其 维护 机 制 就 比较 
复杂 (Chord 中 产生 了 “ 绕 路 问题 ”) ,维护 的 代价 也 就 比较 大 。 

1. DHT 的 基本 概念 

在 第 10. 3. 2 节 介 绍 了 对 报 文 的 完整 性 验证 方法 ,其 中 广泛 采用 的 是 从 报 文中 计算 产生 
的 Hash 值 ( 也 称 为 散 列 值 . 报 文摘 要 )。 由 于 从 报 文中 计算 产生 的 Hash 值 具有 单 向 性 、 弱 
冲突 的 抗拒 性 和 强 冲 突 的 抗拒 性 .并 且 Hash 值 是 固定 长 度 的 (与 报 文 的 长 度 无 关 ), 从 
Hash 值 不 可 推断 出 该 报 文 的 内 容 和 长 度 , 而 且 极 少 有 两 个 以 上 的 报 文 具有 相同 的 
Hash 值 ,因此 Hash 值 也 可 以 用 来 作为 该 报 文 的 ID 识别 码 。 互 联网 上 可 供 共享 的 数据 文 
件 和 音 视频 文件 的 数量 是 非常 巨大 的 ,并 分 散 存 放 在 大 量 的 网 络 主机 中 ,如 果 事 先 计 算出 每 
个 报 文 的 Hash 值 ( 例 如 SHA-1) ,将 它 与 存放 该 报 文 的 计算 机 的 ID 组 成 一 个 数据 对 ,存放 
在 一 个 分 布 式 的 数据 库 中 。 要 查找 某 个 报 文 的 时 候 , 先 计算 出 报 文 标题 的 Hash 值 ,就 可 以 
从 这 个 分 布 式 的 数据 库 中 方便 地 查找 到 此 Hash 值 所 对 应 的 存放 该 报 文 的 主机 地 址 ,然后 
从 该 主机 中 下 载 获 取 报 文 。 

参看 图 12.4 所 示 的 DHT 的 示意 图 。 图 中 有 3 个 不 同 的 数据 文件 ,按照 统一 的 算法 计 
算出 它们 各 自 的 Hash 值 , 分 别 存放 在 分 布 式 网 络 中 不 同 的 对 等 机 中 。 图 中 从 每 个 文件 中 
计算 出 的 Hash 值 长 4 字 节 ,分 别 用 8 个 十 六 进 制 数 表示 。 实 际 应 用 中 如 果 采 用 SHA-1 算 
法 , 则 Hash 值 长 160 比特 ,用 40 个 十 六 进 制 数 表示 ,参看 图 10. 18 的 介绍 。Hash 值 越 长 ， 
产生 冲突 的 可 能 性 越 小 。 


数据 文件 Key 分 布 式 网 络 
Fox [| 计算 Hash 值 | DFCD3454 


The red fox runs 和 
across the ice 计算 Hash 值 52ED879E 


The red fox walks 计算 Hash 值 


across the ice [| 46042841 


图 12.4 DHT 的 基本 概念 


作为 报 文 ID 识别 码 的 Hash 值 计算 有 两 种 选择 : 利用 报 文 标题 的 Hash 值 作为 ID 进 
行 检索 ;利用 报 文 内 容 的 Hash 值 作为 ID 进行 检索 。 这 样 的 好 处 是 即使 报 文 的 名 称 被 改变 
了 ,只 要 内 容 不 变 都 可 以 被 检索 到 。 从 图 12.4 所 示 的 例子 可 看 出 ,两 个 报 文中 即使 仅 有 一 
个 字符 的 差异 ,其 Hash 值 就 完全 不 同 。 因 此 利用 Hash 值 检索 报 文 的 方法 ,其 不 足 是 只 能 
进行 报 文 标题 或 内 容 的 精确 检索 ,不 能 进行 模糊 检索 或 关键 词 检索 ,一般 可 通过 它 的 上 层 相 
关 技 术 来 弥补 这 些 不 足 , 有 的 也 利用 报 文中 关键 词 的 Hash 值 作为 ID 进行 检索 。 

图 12.4 所 示 DHT 是 一 个 无 中 心 的 分 布 式 系统 ,提供 类 似 于 hash 表 的 查询 服务 ,在 
DHT 中 存储 的 是 报 文 的 (key, value) 数 据 对 。 其 中 key 即 由 报 文 计算 出 的 Hash 值 ,而 
value 代表 网 络 中 各 对 等 机 的 ID 节点 标识 ,可 用 网 络 主机 的 IP 地 址 和 MAC 物理 地 址 作为 
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网 络 节点 的 ID 标识 。 网 络 中 的 任何 一 个 参与 节点 都 可 以 通过 查询 获得 与 一 个 给 定 报 文 的 
key 相关 联 的 value。 维 护 key 与 value 值 的 映射 关系 的 责任 分 配给 相关 的 节点 承担 ,这 样 
当 系 统 中 的 某 些 参与 者 的 节点 发 生 了 改变 ,对 网 络 产生 的 影响 很 小 。 因 此 ,使 用 DHT 的 检 
索 系 统 的 节点 数量 可 扩大 到 非常 巨大 的 规模 , 当 系 统 中 大 量 的 节点 不 停 地 接 人 、 退 出 或 失效 
时 ,对 系统 的 使 用 效果 影响 很 小 。 

DHT 可 用 来 构建 一 个 结构 化 的 分 布 式 P2P 对 等 网 络 应 用 系统 。 使 用 DHT 的 著名 的 
分 布 式 网 络 包 括 BitTorrent 的 分 布 式 跟踪 器 、Kad 网 络 、Storm botnet 网 络 、YaCy、Coral 
Content Distribution Network( 珊 瑚 内 容 分 配 网 络 ) 等 。 

2. DHT 的 结构 

DHT 的 结构 可 分 为 几 个 主要 部 分 : 基础 是 一 个 抽象 的 key 空间 ,如 160 比特 的 字 串 
( 即 用 SHA-1 算出 的 报 文 的 Hash 值 ,可 用 40 个 十 六 进 制 数 表示 ); 采 用 一 个 key 空间 的 分 
配 技 术 , 将 key 空间 的 所 有 权 分 配 到 各 参与 节点 中 ;用 一 个 重 倒 覆盖 网 络 将 这 些 节 点 连接 ， 
各 参与 节点 可 找到 在 Key 空间 中 的 任何 给 定 key 的 持 有 者 。 

具备 上 述 主要 部 分 后 ,利用 DHT 来 存储 和 获取 信息 的 过 程 如 下 。 假 设 key 空间 是 一 
组 160 比特 的 字 串 。 要 将 一 个 具有 文件 名 和 数据 的 文件 存储 在 DHT 检索 系统 中 , 先 计算 
文件 名 的 hash 值 (SHA-1) ,产生 一 个 160 比特 的 key(K) ,以 及 发 送 一 个 报 文 put(K ,data) 
到 DHT 中 的 任何 参与 节点 。 此 报 文 就 利用 重 释 覆盖 网 络 从 一 个 节点 向 另 一 个 节点 转发 ， 
直到 抵达 由 key 空间 分 块 指定 的 负责 key(K) 的 那 一 个 节点 。 该 节点 就 将 key 和 数据 保存 。 
任何 其 他 客户 若 想 要 获得 该 文件 的 内 容 , 先 计算 出 文件 名 的 hash 值 来 产生 KK, 然后 向 DHT 
的 任何 一 个 节点 发 送 一 个 报 文 get(K) 来 寻找 与 K 有 关联 的 数据 。 此 报 文 将 被 通过 重 释 路 
由 到 负责 持 有 K 的 节点 , 它 就 将 存储 的 数据 发 送 给 提出 查询 的 对 等 机 。 

结构 化 P2P 网 络 中 关于 Key 空间 的 分 块 . 重 秋 覆 盖 网 络 的 信息 检索 等 技术 在 不 同 的 应 
用 系统 中 略 有 不 同 ,它们 是 当前 研究 发 展 的 热点 课题 。 

3. DHT 的 主要 特性 

DHT 的 主要 特性 如 下 。 

。 非 中心 化 : 构成 P2P 系统 的 节点 不 需要 任何 中 心 的 协调 。 

。 容错 : 即使 系统 中 的 很 多 节点 不 停 地 加 入 、 离 开 或 失效 ,系统 都 是 可 靠 的 。 

。 可 扩展 性 : 即使 系统 规模 扩展 到 上 百 万 个 节点 ,仍然 可 有 效 地 工作 。 

实现 这 些 目 标的 关键 技术 是 任何 一 个 节点 只 需要 与 系统 中 的 其 他 少数 几 个 节点 进行 协 
调 ,一 般 为 lg n(n 是 参与 节点 数 ), 因 此 若 节 点 间 的 关系 变化 了 ,只 需 少 量 的 协调 工作 即 可 
恢复 正常 工作 。 

有 些 DHT 系统 的 设计 具有 对 抗 恶意 参与 节点 的 安全 防护 措施 ,以 及 允许 参与 者 保持 
匿名 ( 即 匿名 P2P) ,但 这 不 像 其 他 P2P 文件 共享 系统 那样 普及 。DHT 也 必须 处 理 传 统 的 
分 布 式 系统 中 的 问题 ,如 负载 均衡 .数据 的 完整 性 校 验 、 系 统 性 能 自 适应 维护 、 路 由 选择 、 数 
据 存 储 与 快速 检索 下 载 等 。 

结构 化 的 P2P 网 络 有 很 多 不 同 的 实现 方案 ,比较 著名 的 有 Chard、Pastry、CAN 及 
Tapestry 等 ,这 是 P2P 应 用 系统 开发 研究 中 的 一 个 专门 领域 ,本 节 不 再 深入 讨论 ,可 查阅 相 
关 资 料 。 
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4. 各 种 P2P 网 络 结构 的 性 能 对 比 

上 述 各 种 P2P 网 络 结构 各 有 优 缺 点 ,实际 应 用 系统 中 要 依据 业务 的 具体 特点 与 要 求 来 
选择 相应 拓扑 结构 。 表 12. 1 从 可 扩展 性 .可靠 性 可 维护 性 资源 发 现 的 准确 性 .是 否 支持 
复杂 查询 等 五 个 方面 来 比较 各 种 拓扑 结构 的 性 能 。 


表 12. 1 各 种 P2P 网 络 结构 的 性 能 对 比 


非 结构 化 的 


纯 P2P 网 络 


可 扩展 性 

可 靠 性 

[维护 性 
资源 发 现 的 准确 性 


也 


12.2 P2P 对 等 网 络 应 用 系统 


12.2.1 P2P 应 用 系统 的 优 缺 点 


在 P2P 网 络 中 , 当 对 等 机 向 网 络 用 户 发 送 资源 时 ,就 涉及 网 络 带宽 ,存储 空间 和 计算 能 
力 等 方面 的 问题 。 当 进入 系统 的 节点 数量 和 对 系统 的 需求 量 增加 时 ,整个 系统 的 容量 也 增 
加 了 。 相 反 地 ,在 典型 的 客户 机 /服务 器 结构 中 ,客户 机 仅 向 系统 获取 资源 ,而 不 贡献 自己 的 
资源 , 当 加 入 系统 的 客户 机 数量 超过 某 极限 值 后 ,可 提供 给 每 个 客户 机 的 资源 服务 就 少 了 。 

P2P 网 络 的 去 中 心 化 的 特性 增强 了 系统 的 坚固 性 ,因为 系统 中 消除 了 类 似 于 在 客户 机 / 
服务 器 模式 中 可 能 出 故障 的 中 心 节点 。 

在 很 多 P2P 网 络 系统 中 ,可 通过 不 安全 和 未 签名 的 代码 去 远程 访问 一 个 受 入侵 计算 机 
中 的 文件 ,甚至 破坏 整个 网 络 。 例 如 ,在 Fast Track 网 络 中 就 曾经 发 生 过 这 样 的 情况 ,有 些 
反对 P2P 应 用 的 公司 试图 将 虚假 的 数据 流 注 入 P2P 的 下 载 流 中 ,使 下 载 的 MP3 文件 不 可 
用 ,甚至 将 恶意 代码 引入 到 下 载 的 MP3 文件 中 ,导致 病毒 的 扩散 。 而 如 今 的 P2P 网 络 中 增 
加 了 下 载 文件 的 验证 技术 ,现代 的 hash 校 验 .数据 流 验证 和 各 种 加 密 方法 在 P2P 系统 中 的 
采用 ,使 得 大 多 数 P2P 网 络 对 网 络 攻击 的 抵抗 能 力 和 安全 性 方面 有 了 很 大 提高 。 

因为 P2P 应 用 系统 的 文件 共享 数据 流 以 及 网 络 协 调 的 数据 包 消 耗 了 大 量 的 网 络 容量 
带宽 ,很 多 互联 网 服务 商 以 及 私有 网 络 的 安全 管理 员 对 P2P 文件 共享 的 网 络 数据 流 进行 了 
流量 限制 。 为 了 对 抗 ISP 以 及 网 络 安全 管理 对 P2P 应 用 的 带宽 限制 ,有些 P2P 应 用 系统 开 
始 使 用 隐藏 P2P 数据 特征 的 技术 来 逃避 网 络 安全 的 监管 ,例如 Bit Torrent 的 协议 加 密 技 术 
等 。 隐 藏 P2P 协议 特征 的 技术 包括 去 除 网 络 数据 中 容易 被 识别 的 特性 ,例如 某 些 字 节 段 的 
特征 值 和 数据 包 的 大 小 等 ,使 这 些 数据 看 起 来 像 是 随机 数 一 样 。 

减缓 P2P 应 用 的 数据 流 对 网 络 容量 压力 的 一 种 方法 是 采用 P2P 缓存 中 继 的 技术 ， 
ISP 可 将 P2P 客户 机 访问 量 最 多 的 文件 缓存 在 本 地 网 络 的 代理 中 ,就 地 提供 服务 ,以 减少 对 
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互联 网 主干 线路 的 访问 量 。 
12.2.2 常见 的 P2P 应 用 系统 


从 2000 年 开始 ,P2P 网 络 应 用 技术 得 到 了 迅猛 的 发 展 。 目 前 P2P 已 成 为 互联 网 上 最 
热门 的 应 用 领域 ,在 内 容 下 载 、 在 线 共 享 `. 即 时 通信 、 计 算 能 力 共 享 . 流 媒 体 、 互 联网 在 线 游戏 
等 领域 得 到 普及 应 用 ,使 用 P2P 技术 的 软件 随处 可 见 , 人 们 也 从 中 体验 到 了 P2P 技术 带 来 
的 自由 通信 和 与 免费 信息 共享 ,同时 也 带 来 了 传输 带宽 吞噬 ,版权 保护 、 信 息 安 全 等 问题 。 以 
下 是 部 分 常见 的 P2P 应 用 系统 。 


. 文件 共享 类 P2P 软件 


Bit Torrent, 是 一 个 点 对 点 的 共享 文件 分 发 协议 。 

eDonkey,P2P 文件 共享 软件 。 

eMule, 基 于 eDonkey 2000 网 络 的 P2P 新 型 文件 分 享 工 具 。 

Web 迅雷 ,基于 P2P 网 络 技术 的 高 速 下 载 软 件 ,具有 普通 下 载 软件 7 一 10 倍 的 
速度 。 

Imesh, 文 件 分 享 软件 ,能 够 让 用 户 设 定 分 享 文件 的 类 型 ,音乐 .影片 或 其 他 文件 ;也 
能 够 让 用 户 搜 寻 并 且 下 载 想 要 的 文件 ,相当 于 一 个 点 对 点 的 虚拟 在 线 社区 。 

易 载 (ezPeer) 简 体 中 文 版 ,一 个 革命 性 的 P2P 文件 共享 软件 ,搜索 速度 快 .下 载 容 
易 .操作 方便 、 兼 有 娱乐 .通信 、 社 群 、. 影 音 等 多 样 功能 。 

Bear Share, 基 于 Gnutella 技术 发 展 而 成 的 多 媒体 档案 分 享 软件 ,可 以 分 享 日 前 所 有 
格式 的 多 媒体 文档 ,还 可 以 用 自 定格 式 的 副 档 名 来 搜寻 档案 文件 。 


.即时 通信 类 (Instant Message .IM)P2P 软件 


QQ、MSN, 即 时 通信 和 软件 ,支持 在 线 聊 天 、 视 频 对 话 、 视 频 会 议 、 文 件 传 输 、 文 件 共 
享 等 。 

Skype, 即 时 语音 通信 软件 ,也 是 目前 最 流行 的 网 络 电话 软件 。 

Gtalk ,Google 公司 推出 的 即时 通信 聊天 软件 ,网络 架构 与 QQ 相同 。 
Openext, 集 多 媒体 娱乐 和 聊天 等 功能 于 一 体 的 P2P 软件 ,用 户 之 间 可 以 直接 进行 
点 对 点 的 连接 。 


. 流 媒体 类 P2P 软件 


酷 狗 (KuGoo) ,免费 音乐 下 载 播放 软件 ,具有 高 速 音乐 下 载 和 强大 的 流行 音乐 搜索 
功能 。 

PPStream, 全 球 第 一 个 集 P2P 直播 点 播 于 一 体 的 网 络 电视 软件 ,完全 免费 ,无 需 注 
册 , 下 载 即 可 使 用 。 


。 PPLive, 一 款 全 球 安装 量 大 的 、 免 费 的 P2P 网 络 电视 软件 ,支持 对 海量 高 清 影 视 内 
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容 的 “直播 十 点 播 ”功能 。 

AnySee, 视 频 直 播 系 统 ,系统 中 所 有 对 等 节点 连接 成 一 个 以 节目 源 节点 为 根 的 多 
播 树 。 

基于 P2P 技术 的 互联 网 在 线 游戏 平台 


多 用 户 网 络 在 线 游戏 (Multiplayer Online Games) 涉 及 多 个 游戏 用 户 之 间 的 实时 交互 ， 
因此 对 低 网 络 延迟 要 求 比较 高 ,通常 只 局 限 在 局 域 网 内 运行 。 但 随 着 互联 网 在 线 游戏 用 户 
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的 增加 ,产生 了 不 同 局 域 网 中 的 用 户 通 过 互联 网 来 进行 共同 游戏 的 需求 。 为 此 ,出 现 了 一 些 
支持 游戏 用 户 在 Internet 上 玩 在 线 游戏 的 平台 ,但 这 些 平台 通常 采用 的 是 一 种 集中 式 架 构 ， 
制约 了 平台 的 动态 可 扩展 性 。 

目前 较为 成 功 的 P2P 互联 网 在 线 游戏 平台 是 华中 科技 大 学 2008 年 发 表 的 PKTown 系 
统 , 它 支持 多 种 传统 的 网 络 对 战 游戏 在 Internet 上 运行 。PKTown 在 线 游戏 对 战 平台 采用 
了 一 种 基于 P2P 的 延迟 聚集 重重 覆盖 网 络 (Peer-to-Peer Overlay Network) 技 术 。 它 构建 
了 一 种 延迟 聚集 的 无 结构 化 重生 覆盖 网 络 ,在 广域网 内 模拟 出 局 域 网 的 特征 ,实现 了 游戏 信 
息 的 共享 以 及 游戏 包 路 由 ,降低 了 游戏 节点 之 间 的 通信 延迟 。 为 了 对 上 层 游 戏 软件 屏蔽 底 
层 的 重 和 至 覆盖 网 络 ,PKTown 采用 了 一 种 访问 重 且 覆盖 网 络 的 统一 的 游戏 接口 ,以 屏蔽 各 
类 在 线 游戏 之 间 的 差异 ,实现 了 平台 的 游戏 无 关 性 。 

PKTown 不 需要 改变 游戏 本 身 的 代码 ,而 是 将 用 户 与 互联 网 邻居 组 成 一 个 虚拟 局 域 
网 ,将 游戏 发 出 的 通信 和 包 截 获 后 加 上 虚拟 局 域 网 的 地 址 转发 出 去 。 游 戏 进程 收 到 后 ,认为 是 
来 自 同一 局 域 网 的 游戏 包 , 则 可 以 进行 游戏 。 支 持 的 游戏 ,如 魔兽 争霸 、 星 际 争霸 、 反 奴 精 
英 等 。 


12.2.3 某 校园 网 数据 流 分 类 统计 案例 


图 12.5 是 国内 某 高 校 私 有 网 络 的 “数据 量 / 月 "统计 表 , 统 计时 间 为 2008 年 8 月 ,总 流 
量 中 包括 了 上 行 和 下 行 的 数据 流量 。 从 此 典型 案例 中 可 概念 性 地 了 解 到 当前 国内 校园 网 中 
的 各 类 协议 流量 分 布 状况 。 案 例 中 占据 网 络 通信 容量 最 大 的 前 5 位 应 用 协议 如 下 : 


月 应 用 带宽 报表 (TOTAL) 


@ THUNDER(3.43 TB) ® PPSTREAM(915.29 GB) ® HTTP-DOWNLOAD(474.81 GB) ® HTTP-BROWSE(421.63 GB) 
@ OTHERS TCP(390.85 GB) ® PPLIVE(375.98 GB) ©® QQLIVE(324.11 GB) ® HTTP-PART(319.24 GB) 
® OTHERS UDP(255.26 GB) ® PPFILM(216.97 GB) ® HTTP-MIRROR(199.50 GB) ® QVOD(180.54 GB) 
®@ HTTP-OTHERS(128.91 GB) ®@ KUGOO(111.69 GB) ® FUNSHION(95.30 GB) ® QO-WEBCAM(70.94 GB) 
@FLV(70.45 GB) ® BITTORRENT(50.41 GB) ® FTP(42.55 GB) ® RTP(40.92 GB) 


图 12.5 某 高 校 私 有 网 络 2008 年 8 月 流量 统计 


。 THUNDER 即 Web 迅雷 ,3.43TB, 占 校园 网 总 流量 43% 。 

。 PPSTREAM 网 络 电视 ,915. 29GB, 占 校园 网 总 流量 11% 。 

。 HTTP Web 文件 下 载 ,474. 81GB. 占 校园 网 总 流量 6%。 

。 HTTP Web 浏览 ,412. 63GB 字 节 , 占 校 园 网 总 流量 5%。 

。 PPLIVE IM 即时 通信 ,375. 98GB. 占 校园 网 总 流量 5%。 

此 校园 网 中 传输 流量 占 5% 以 下 的 其 他 P2P 协议 还 有 QQLIVE、 PPFILM、QVOD、 
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KUGOO、FUNSHION \QQ-WEBCAM BITTORENT 等 。 在 不 同 用 户 群 的 网 络 中 , 主要 流 
量 的 应 用 协议 有 所 不 同 , 例 如 在 居民 小 区 的 宽带 网 中 ,一 般 网 络 视频 流量 占 主 要 地 位 。 从 此 
例 的 数据 分 析 可 看 出 ,在 一 些 企 事 业 单位 的 私有 网 络 中 ,P2P 应 用 类 的 数据 流量 已 经 占 总 流 
量 的 绝 大 部 分 ,如 果 不 加 以 分 类 限制 ,会 影响 正常 办 公 业 务 等 的 网 络 传输 。 


12.3 网 络 用 户 的 上 网 行为 管理 


互联 网 上 各 种 P2P 对 等 系统 的 大 量 应 用 ,大 大 扩展 和 丰富 了 人 们 的 网 络 生活 ,给 人 际 
间 的 交往 方式 .影视 节目 的 版 权 观念 、 社 会 经 济 行为 等 方面 都 带 来 了 深刻 的 影响 。 也 给 个 人 
隐私 、 国 家 机 密 、 公 共管 理 信息 的 非法 泄露 等 带 来 了 很 大 的 隐患 ,这 是 网 络 信息 安全 管理 所 
面临 的 一 个 很 大 的 挑战 。 目 前 P2P 的 数据 流量 已 占据 了 互联 网 总 流量 的 60% 以 上 ,而 且 还 
在 迅速 增长 。 特 别 是 在 军队 、 公 安 、 政 府 、 企 事业 单位 的 私有 网 络 信息 安 全 监管 中 ,如 何 对 用 
户 上 网 行为 加 强 检 测 和 控制 ,是 一 个 重要 的 问题 。 


12.3.1 上 网 行为 管理 系统 及 其 功能 


在 传统 的 防火 墙 .杀毒 软件 和 IDSVIPS 网 络 入侵 检测 /保护 系统 等 安全 管理 设施 之 外 ， 
为 了 解决 对 种 类 繁多 的 各 种 应 用 层 网 络 数 据 流 的 识别 和 安全 控制 ,很 多 信息 安全 设备 制造 
商 开发 了 上 网 行为 管理 系列 产品 。 上 网 行为 管理 系统 的 数据 监测 设备 可 以 独立 工作 ,也 可 
以 与 防火 墙 \ 人 侵 保护 系统 等 配合 使 用 , 当 检 测 到 违反 安全 策略 的 网 络 通信 行为 后 , 即 可 阻 
断 或 限制 其 通信 进程 。 上 网 行为 管理 系统 一 般 可 实现 如 下 功能 ， 

(1) 网 络 实时 流量 监控 与 分 析 : 网 络 流量 的 实时 采集 ,监控 和 精细 分 析 使 得 网 络 运行 
状况 .应 用 情况 .带宽 使 用 情况 等 状况 完全 可 视 化 ,基于 协议 和 用 户 IP 地 址 两 种 类 型 的 实时 
流量 分 析 ,提供 访问 的 源 / 目 的 IP 地址 、 服 务 端口 .应 用 协议 ,会 话 (Session) 数 量 以 及 流量 
大 小 等 详细 信息 。 

(2) 对 以 下 应 用 层 协议 的 自动 识别 和 分 类 : 

@@ P2P 对 等 应 用 : Bittorrent、 eMule、 KAZAA、KURO、 NAPSTER 、EDONKEY、 
AUDIOGALAXY. EZPEER、 KUGOO、 GNUTELLA、 VAGAA ,SOULSEEK、 POCO、 PIGO 等 
30 多 种 P2P 软件 。 

@ IM 即时 通信 : MSN、Yahoo、ICQ、AOL、QQ、YAHOO、WEBIM.、IRC、XMPP 等 多 
种 IM 数据 识别 。 

@ 视频 /Streaming 应 用 : 新 浪 直 播 、 搜 狐 直播 .RTSP、SIP、PPSTREAM. PPLIVE、 
APPLEQTC.CCIPTV .QUICKTIME、REALPLAYER、MMS、QQlive、H. 323 等 主流 的 视 
频 和 流 媒体 应 用 。 

@ 网 络 游戏 : COUNTERSTRIKE、QUAKEI1、DOOM3、QQGAME、CGA、 
SUBSPACE、XBOXLIVE、QUAKE-HALFLIFE、BATTLEFIELD1942 .WOW .联众 等 网 络 
游戏 。 

@ 炒股 软件 : 大 智慧 证 券 信息 平台 、 天 一 证 券 网 上 交易 系统 、 华 泰 网 上 交易 分 析 系 统 、 
证 券 之 星 等 炒股 软件 。 

@ 企业 办 公 、 数 据 库 与 中 间 件 : HTTP、SMTP、POP3、IMAP.、 文 件 共 享 、FTP、 SQL 
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Server \Oracle`.DB2、WebSphere MQ 等 企业 的 关键 应 用 

@ 对 用 户 传输 的 某 些 应 用 数据 类 型 以 及 对 各 种 新 出 现 的 网 络 信息 安全 威胁 的 可 疑 数 
据 , 提 供 自 定义 的 特征 码 识别 。 

(3) 网 络 流量 控制 管理 : 可 利用 数据 包 中 的 源 IP 地 址 .目标 IP 地 址 ,时 间 、 协 议和 应 用 
等 作为 参数 进行 如 下 控制 : 

@ 灵活 的 阻 断 与 允许 功能 。 

@ 进行 上 行 与 下 行 带宽 控制 。 

@ 进行 会 话 数量 控制 。 

@ 支持 组 对 象 的 配置 ,如 定义 用 户 组 (CIP 组 ) .协议 组 (如 P2P 协议 组 .游戏 组 ) 对 同一 
类 型 的 应 用 、 相 同 级 别 的 用 户 进行 带宽 管理 策略 的 控制 。 

(4) 流量 整 型 与 应 用 优化 : 支持 自 定义 虚拟 带宽 通道 .最 大 带宽 限制 ,保证 带宽 ,带宽 
租借 、 应 用 优先 级 ,以 及 随机 公平 队列 等 一 系列 的 应 用 优化 和 带宽 管理 控制 功能 。 

(5) 提供 丰富 的 图 表 报 告 分 析 和 统计 : 提供 一 年 内 的 应 用 或 协议 流量 记录 ,并 可 生成 
天 . 周 月 季度、 年 时 间 段 内 的 应 用 及 协议 的 带宽 使 用 统计 报告 。 包 括 : 总 带宽 分 析 报 表 、 
应 用 带宽 分 析 报表 、 基 于 协议 的 带宽 分 析 报 表 、 基 于 协议 和 流量 方向 (进入 /出 去 ) 的 带宽 分 
析 报 表 、 基 于 应 用 和 流量 方向 (进入 /出 去 ) 的 带宽 分 析 报 表 、 基 于 IP 地 址 的 带宽 分 析 报 表 、 
用 户 自 定义 报表 等 。 

(6) 集中 化 的 图 形 化 管理 平台 : 提供 中 英文 的 图 形 化 管理 平台 ,可 以 通过 一 台 管理 服 
务 器 集中 管理 网 络 上 的 多 台数 据 检 测 设备 。 图 形 化 管理 平台 能 够 适应 于 各 种 操作 系统 和 服 
务 器 ,只 需 利用 浏览 器 即 可 远程 访问 管理 服务 器 进行 设备 管理 。 


12.3.2 P2P 上 网 行为 的 监测 与 控制 


对 P2P 网 络 数据 流 进行 安全 监管 和 控制 ,面临 以 下 几 个 方面 的 问题 : 

(1) P2P 对 等 网 络 系统 的 功能 主要 是 在 应 用 层 实 现 的 ,因此 工作 于 传输 层 和 网 络 
层 以 下 的 防火 墙 \ 和 人 侵 检测 等 网 络 管理 设备 难以 对 P2P 的 应 用 层 数据 流 进行 有 效 识 别 
和 控制 。 

(2) 各 种 P2P 应 用 系统 采用 的 不 是 互联 网 官方 公布 的 应 用 层 协议 ,而 是 P2P 应 用 系统 
开发 者 自 有 知识 产权 的 协议 ,有 很 多 P2P 应 用 系统 的 工作 原理 是 不 公开 的 ,只 能 从 捕获 数 
据 流 中 进行 分 析 。 而 且 P2P 应 用 系统 种 类 繁多 、 互 不 兼容 。 

(3) 除了 中 心 式 的 P2P 网 络 采用 少量 固定 IP 地 址 的 索引 服务 器 外 ,大 部 分 P2P 系统 
没有 服务 器 ,对 等 机 没有 固定 IP 地 址 。 采 用 对 IP 包 中 的 源 和 目的 IP 地 址 进行 识别 的 方 
法 ,效果 有 限 。 

(4) P2P 应 用 系统 的 开发 者 为 了 自己 系统 的 利益 扩张 ,也 要 千方百计 地 采取 各 种 技术 
手段 来 逃避 对 用 户 的 上 网 行为 监管 。 例 如 ,采用 动态 变化 的 端口 号 ,尽量 减少 P2P 数据 包 
的 特征 等 来 逃避 检测 。 

(5) 在 网 络 安全 监管 中 ,对 各 种 P2P 对 等 网 络 的 应 用 不 能 简单 地 禁止 ,而 要 根据 本 地 私 
有 网 络 系统 的 性 质 和 特点 制定 出 相应 的 信息 安全 管理 策略 ,例如 ,限制 部 分 流量 , 阻 断 某 些 
应 用 等 措施 。 
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12.4 了 P2P 网 络 数据 流 的 识别 方法 


12.4.1 P2P 网 络 数据 流 识别 方法 的 分 类 


为 了 解决 由 P2P 应 用 带 来 的 一 系列 敏感 信息 的 泄露 和 网 络 拥塞 等 问题 ,需要 对 P2P 数 
据 流 采取 特别 的 管理 和 优化 办 法 。 准 确 检 测 和 识别 网 络 中 的 P2P 应 用 数据 包 则 是 有 效 管 
理 的 前 提 , 按 照 流量 识别 技术 发 展 的 历程 ,P2P 流量 检测 技术 可 以 分 为 3 类 : 

。 基于 传输 层 端口 的 识别 : 利用 IP 包 中 传输 层 端口 的 特征 判断 是 否 属于 P2P 流量 。 

。 基于 特征 码 的 识别 : 分 析 报 文 载荷 中 的 内 容 是 否 包含 特定 P2P 应 用 的 特征 码 来 判 

定 是 否 属于 P2P 流量 。 
。 基于 流量 特征 的 识别 : 基于 P2P 流量 的 一 些 统计 特征 ,如 上 行 流量 和 下 行 流量 的 对 
等 性 ,节点 的 连接 行为 等 。 

可 从 以 下 几 个 方面 来 评价 和 比较 这 三 种 检测 方法 : 

。 识别 的 正确 性 ,能 和 否 识别 出 具体 的 P2P 协议 。 

。 识别 的 准确 性 ,包括 误 报 率 和 漏 报 率 。 

。 识别 算法 的 复杂 程度 和 代价 。 

1. 基于 传输 层 端口 的 P2P 流量 识别 

基于 传输 层 端口 的 识别 方法 主要 用 于 对 早期 的 P2P 应 用 数据 识别 ,早期 大 多 数 P2P 应 
用 系统 使 用 的 都 是 固定 的 端口 地 址 ,如 果 IP 包 中 使 用 的 端口 是 已 知 类 型 端口 , 则 判定 为 
P2P 流量 。 

这 类 方法 的 优点 是 精确 率 较 高 ,对 于 非 P2P 应 用 的 TCP 连接 来 说 ,客户 操作 系统 随机 
选择 的 临时 端口 号 正好 是 P2P 程序 的 默认 端口 的 概率 很 低 。 同 时 该 识别 算法 非常 简单 ,只 
需要 检测 IP 包 中 传输 层 的 端口 信息 即 可 。 这 类 方法 的 缺点 在 于 ,当前 越 来 越 多 的 P2P 程 
序 已 经 开始 使 用 随机 端口 逃避 监测 ,甚至 可 以 利用 HTTP、FTP 等 应 用 的 公认 端口 来 进行 
通信 ,使 得 使 用 端口 识别 方法 能 够 正确 检测 出 来 的 P2P 流量 占 实际 P2P 流量 的 比例 越 来 越 
小 。 研 究 发 现 , P2P 流量 的 比例 在 逐渐 增加 ,但 是 使 用 基于 端口 的 方法 能 识别 出 来 的 
P2P 流量 种 类 却 在 逐渐 减少 。 表 12. 2 是 一 些 P2P 应 用 协议 早期 曾经 使 用 过 的 端口 。 表 中 
的 大 多 数 P2P 应 用 软件 后 来 都 采用 了 动态 端口 技术 ,不 再 使 用 表 中 的 端口 。 


表 12.2 一 些 P2P 应 用 系统 曾经 使 用 过 的 固定 端口 


P2P 软件 P2P 软件 


协议 协议 
迅雷 TCP | 3076 .3077 .3078 QQ 直播 UDP | 13000 一 14000 
电驴 (VeryCD)| TCP | 4661、4662 、4242 PPlive TCP.UDP| TCP:8008 .UDP:4004 
KuGoo TCP |3318.7000 Vagaa( 哇 嘎 ) |TCP、UDP| 28067 


2. 基于 特征 码 的 P2P 流量 识别 
由 于 每 种 协议 的 报 文中 都 携带 有 特定 的 报 文 信息 ,例如 HTTP 协议 报 文中 会 出 现 
GET、POST 等 字样 。 与 之 类 似 ,在 各 种 P2P 应 用 协议 中 也 具有 类 似 的 固定 信息 。 因 此 ,人 
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们 提出 了 通过 检查 报 文 载荷 信息 进行 识别 的 方法 , 即 基于 特征 码 识别 的 方法 。 

这 类 方法 的 优点 是 准确 率 较 高 ,对 于 非 P2P 应 用 来 说 ,数据 流 中 出 现 与 特定 P2P 相同 
字符 串 的 概率 很 低 。 此 外 ,由 于 只 需要 在 单个 报 文中 检测 出 特征 码 , 就 可 以 判定 整个 会 话 进 
程 是 P2P 流量 ,该 方法 也 比较 容易 应 用 于 实时 监测 。 该 类 方法 存在 的 问题 是 : 

(1) 查看 用 户 报 文 往往 涉及 侵犯 用 户 隐 私 问题 。 

(2) 很 多 P2P 程序 是 企业 自主 知识 产权 的 私有 协议 ,一 般 不 公开 ,只 有 通过 人 工分 析 捕 
获 数据 样本 的 手段 才能 得 到 它们 的 特征 码 :, 而 当 该 协议 升级 变化 后 就 可 能 使 已 得 到 的 原 特 
征 码 失效 。 

(3) 只 能 识别 那些 预先 经 过 分 析 的 已 知 特征 码 的 P2P 流量 ,不 能 发 现 新 的 P2P 流量 。 

(4) 如 果 P2P 协议 使 用 加 密 手段 进行 通信 ,基于 特征 码 的 方法 将 失效 。 

(5) 从 捕获 分 析 数 据 包 到 做 出 判定 是 否 放 行 产 生 的 延 时 等 开销 不 可 忽视 ,在 一 些 大 数 
据 流 量 的 网 络 中 ,可 能 影响 该 方法 的 实际 部 署 。 

目前 ,基于 特征 码 的 方法 在 实际 应 用 中 识别 的 精确 率 和 正确 率 都 很 高 , 它 的 结果 也 经 常 
被 用 来 作为 评价 其 他 P2P 流量 识别 方法 优 劣 的 参考 基准 。 

3. 基于 流量 特征 的 P2P 流 识别 方法 

基于 流量 特征 识别 的 主要 思想 是 利用 P2P 流量 的 一 些 基 本 特征 ,而 不 通过 端口 或 者 报 
文 内 容 等 一 些 具体 细节 来 判断 是 否 是 P2P 流量 ,以 下 是 几 种 基于 流 特征 的 识别 方法 。 

(1) 上 传 /下 载 流量 比例 特征 : P2P 文件 共享 机 制 使 得 P2P 节点 在 下 载 资源 的 同时 ,也 
在 为 别 的 节点 上 传 资源 。 通 过 对 典型 P2P 应 用 系统 的 报 文 分 析 发 现 , 在 设 定时 间 段 内 ,P2P 
应 用 的 上 传 与 下 载 流量 都 较 明 显 , 并 且 上 传 与 下 载 的 比率 都 处 在 一 个 净值 范围 之 内 ,具体 表 
现 为 流量 中 同时 存在 许多 以 A 地 址 为 源 地 址 和 以 A 地 址 为 目的 地 址 的 数据 报 文 。 例 如 ,有 
研究 报告 指出 对 PPlive 应 用 数据 的 分 析 ,首先 去 除 公认 端口 的 干扰 ,并 尽量 采用 默认 的 上 
传 /下 载 的 速度 来 获取 流量 ,实验 取 时 间 间 隔 为 1 分 钟 ,统计 得 出 上 传 / 下 载 比例 的 阔 值 为 
[2,6.7], 而 非 P2P 应 用 数据 流 在 相同 时 间 间 隔 内 难以 达到 上 述 阔 值 的 下 限 。 实 验 表明 ,将 
时 间 段 设 为 6s 时 ,针对 五 种 主流 P2P 应 用 系统 (Maze、BitTorrent 、PPlive、Emule、Thunder), 利 
用 上 传 /下 载 流量 比例 特征 的 正确 识别 率 均 在 93% 以 上 。 

(2) 传输 层 协议 类 型 的 特征 : Thomas 等 人 发 现 eDonkey、FastTrack、Gnutella、MP2P 
以 及 Direct Connect 等 著名 P2P 应 用 在 传输 层 上 利用 TCP 作为 数据 的 传输 协议 ,利用 
UDP 作为 控制 信息 的 传输 协议 ,表现 出 TCP 流 和 UDP 流 同 时 存在 的 特征 ,因此 将 该 特征 
作为 P2P 流量 的 识别 规则 。 

少量 的 非 P2P 应 用 ,如 DNS 也 具有 该 特征 ,但 这 些 应 用 通常 使 用 相对 固定 的 端口 号 ， 
因此 可 通过 建立 这 些 非 P2P 应 用 的 端口 列表 ,并 从 疑似 P2P 流量 中 去 除 端 口号 落 在 列表 的 
流量 。 实 验 表明 ,利用 传输 层 协 议 类 型 的 特征 能 够 识别 出 90. 5% 的 P2P 流量 。 

(3) 网 络 节点 的 角色 特征 : P2P 网 络 节点 在 某 些 连接 中 既是 资源 请 求 者 ,又 是 其 他 
P2P 节点 的 资源 提供 者 ,节点 间 需 要 传输 数据 和 控制 信息 。 根 据 TCP 通信 的 交互 过 程 , 如 
观察 到 从 B 地 址 发 送 到 A 地 址 的 SYN 十 ACK .ACK 十 FIN 数据 报 文 , 即 表明 B 为 服务 器 ， 
人 A 为 客户 机 ;反之 则 A 为 服务 器 ,B 为 客户 机 。UDP 报 文中 源 端 为 客户 机 ,目的 端 为 服务 
器 。 假 定 在 某 一 时 刻 观 察 到 某 个 节点 既是 服务 器 又 是 客户 机 的 现象 , 则 该 节点 具有 双重 角 
色 节 点 的 特征 。 有 报道 称 , 通 过 实验 观察 发 现 , 当 此 数量 特征 值 取 3 的 时 候 , 只 有 2% 的 非 
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P2P 应 用 数据 流 中 包含 至 少 三 个 双重 角色 节点 ,而 90% 的 P2P 应 用 网 络 包含 至 少 三 个 双重 
角色 节点 ,实验 中 通过 该 方法 能 有 效 地 对 非 P2P 流量 进行 过 滤 ,识别 率 达到 了 85%。 

这 类 方法 的 优点 是 : 不 需要 涉及 报 文 的 内 容 ,避免 了 基于 特征 码 的 一 系列 缺点 ;基于 这 
种 流量 特征 的 方法 能 够 主动 地 识别 出 某 些 新 的 P2P 流量 。 

但 是 该 类 方法 同样 存在 如 下 问题 : 这 类 方法 往往 需要 多 个 流 的 汇总 信息 来 进行 判 
断 ,甚至 需要 收集 某 个 特定 主机 的 大 部 分 流量 信息 ,才能 判断 该 主机 是 P2P 节点 的 可 能 性 ， 
而 不 能 从 单个 数据 包 判 断 其 是 否 为 P2P 流量 。 该 方法 在 实时 监测 应 用 时 显得 较为 困难 。 
回 这 类 方法 存在 一 定 的 误 判 率 , 有 一 定 的 概率 会 把 非 P2P 流量 误 判 成 P2P 流量 ,如 何 降低 
误 判 率 也 是 这 类 方法 的 重要 挑战 之 一 。 图 将 P2P 流量 作为 一 大 类 来 进行 监测 较为 容易 ,但 
是 如 果 要 进一步 区 分 属于 哪 种 P2P 应 用 则 比较 困难 。 

在 表 12. 3 中 对 上 述 讨论 的 三 种 P2P 流量 识别 方法 进行 了 比较 。 

表 12.3 P2P 流量 识别 方法 比较 
识别 方法 基本 原理 优点 缺 点 

对 固定 端口 误 判 率 低 ， 
易 实 现 
判断 报 文 载荷 的 内 容 中 是 否 | 误 判 率 低 , 能 够 识别 出 


基于 特征 码 。| 包含 某 P2P 应 用 的 特征 | 具体 的 P2P 应 用 类 型 ，| 寓 滴 用户 隐 和 ,信息 汶 避 ,容易 
pe ,处 理 开销 较 大 
宁 申 算法 简单 


基于 P2P 流 量 的 统计 特性 , | 能 够 识别 未 知 的 P2P | 存在 一 定 误 判 率 , 较 难 在 线 使 
流量 ,算法 复杂 用 ,不 能 对 P2P 应 用 分 类 识别 


如 上 /下 行 流量 的 比例 等 
12.4.2 基于 特征 码 的 P2P 网 络 数据 识别 技术 

通过 第 12. 4. 1 节 对 P2P 流量 识别 方法 的 比较 可 看 出 ,虽然 基于 特征 码 的 P2P 流量 识 
别 方法 存在 不 足 , 但 仍 在 实际 中 得 到 广泛 应 用 ,主要 原因 是 ， 

(1) 通过 使 用 各 种 优化 措施 和 发 现 各 类 P2P 应 用 中 的 更 多 的 载荷 (payload) 特征 ,该 技 
术 可 以 达到 非常 高 的 检测 精度 和 令 人 满意 的 性 能 。 

(2) 目前 主流 的 P2P 协议 都 是 未 加 密 传输 的 ,破解 和 获取 特征 码 相 对 容易 ,使 用 该 技术 
能 满足 目前 运营 商 和 私有 网 络 管理 员 对 控制 P2P 流量 的 需求 。 

(3) 对 于 新 出 现 的 P2P 协议 ,只 需 在 破译 分 析出 特征 码 后 ,升级 载荷 特征 库 就 可 以 实现 
对 新 出 现 的 P2P 协议 数据 的 监控 ,后 期 维护 简单 。 基 于 特征 码 识 别 的 检测 方法 属于 深度 包 
检测 技术 ,可 与 IPS 入 侵 保 护 系 统 等 安全 设备 组 合 使 用 ,参看 第 9.4 节 。 

1. P2P 包 过 滤 系 统 的 工作 原理 

所 有 的 互联 网 应 用 程序 都 是 基于 TCP/IP 协议 族 的 框架 之 上 的 ,通信 双方 在 传输 层 以 
上 的 通信 都 属于 对 等 层 之 间 的 通信 ,每 一 层 协议 都 有 自己 独特 的 语法 规范 ,P2P 协议 也 不 例 
外 。 因 此 ,基于 特征 码 的 P2P 协议 数据 识别 方法 就 是 根据 网 络 数据 中 独特 的 字符 串 来 辨别 
P2P 流量 的 类 型 。 以 Bit Torrent 协议 数据 的 识别 为 例 , 该 协议 总 是 由 一 个 “握手 ” 报 文 开 
始 , 在 交换 握手 报 文 的 流程 中 ,首先 发 送 “13”, 接 着 是 字符 串 “Bit Torrent protocol”。 因 此 
可 以 确定 ,ASCII 编码 的 字符 串 “13 Bit Torrent Protocol” 就 是 Bit Torrent 协议 数据 的 
特征 码 。 


基于 端口 判断 传输 层 的 通信 端口 对 随机 动态 端口 ,不 能 识别 


基于 流量 特征 
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图 12. 6 是 一 个 基于 特征 码 识别 的 P2P 数据 流 控制 系统 框图 。 从 网 络 干线 输入 数据 包 
后 , 先 分 析 数 据 包 中 各 层 的 首部 信息 ( 源 和 目的 的 MAC 地 址 、IP 地 址 、 端 口 地 址 、 传 输 层 协 
议 ,数据 包 长 度 等 ) ,然后 根据 应 用 层 的 数据 特征 ,对 数据 包 进行 识别 ,判断 该 数据 包 是 否 是 
P2P 应 用 ,对 于 判断 为 P2P 应 用 的 数据 包 , 根 据 策略 库 中 的 规则 对 P2P 应 用 数据 包 进 行 过 
滤 ,或 控制 P2P 应 用 的 流量 。 其 中 : 


P2P 系 统 特征 库 
网 络 干线 (入 ) 网 络 干线 (出 ) 


数据 包 捕获 [=| 数据 包 分 析 [= P2P 识 别 ”上 一 | 数据 包 过 滤 


| Ca 


图 12.6 P2P 数据 流 识别 控制 系统 框图 


(1) 数据 包 捕 获 模块 : 是 整个 系统 实现 的 基础 ,其 中 最 关键 的 是 要 保证 高 速 采集 和 低 
丢 包 率 ( 特 别 是 在 大 流量 的 千 兆 以 太 网 干线 上 ) ,这 不 仅 取决 于 软件 的 效率 还 与 硬件 的 性 能 
相关 ,捕获 数据 包 的 方法 有 很 多 ,常用 的 有 Win Pcap、RMON 、xFlow 、 探 针 等 。 

(2) 数据 包 分 析 模 块 : 主要 负责 解析 捕获 模块 传 来 的 每 个 数据 包 。 图 12. 7 是 一 个 数据 
包 的 分 解 过 程 ,从 网 卡 获得 一 个 数据 包 后 ,首先 分 析 以 太 帧 首部 , 读 取 其 源 和 目的 MAC 地 
址 ,然后 根据 以 太 帧 头 部 中 的 协议 类 型 字段 判断 该 数据 包 是 何 种 类 型 ,如 果 分 析出 是 IP 包 ， 
且 传 输 层 协议 是 TCP 或 UDP, 则 继续 分 析 该 包 的 应 用 层 数据 ,提取 数据 载荷 ,完成 对 数据 
包 的 解析 。 


以 太 帧 首部 | PP 包 首 部 | TCP/UDP 首 部 载荷 数据 以 太 帧 尾部 CRC 
IP 包 首部 | TCP/UDP 首 部 载荷 数据 
1 1 
TCP/UDP 首 部 载荷 数据 
1 1 
应 用 层 首部 | 应 用 数据 


应 用 数据 


图 12.7 数据 包 中 各 层 首部 信息 的 分 解 过 程 


(3) P2P 识别 模块 : 根据 P2P 特征 库 里 的 特征 记录 判断 该 数据 包 是 否 属于 P2P 应 用 数 
据 包 ,若是 , 则 将 特征 值 传 给 安全 策略 库 , 由 策略 库 来 决策 是 否 放行 或 抛弃 , 若 不 是 , 则 放行 。 
处 理 过 程 如 图 12. 8 所 示 。 在 与 特征 数据 库 进行 模式 匹配 的 时 候 ,采用 特定 的 模式 匹配 


算法 。 
获取 数据 包 | _| 与 特征 库 进行 是 三 
开始 )~| 应 用 层 数据 "| “模式 匹配 提交 策略 库 汪 


图 12.8 P2P 数据 包 的 识别 过 程 
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(4) 数据 包 过 滤 模 块 : 根据 策略 规则 库 提 供 的 规则 指令 ,过 滤 正在 传输 的 P2P 数据 包 ， 
控制 P2P 流量 ,数据 包 过 滤 过 程 如 图 12. 9 所 示 。 除 了 对 P2P 应 用 数据 包 有 对 应 的 过 滤 动 
作 之 外 ,其 他 数据 包 按照 既定 路 线 继续 运行 。 


分 析 识别 是 | 查询 过 E 是 [= 
数据 包 让 规则 是 否 瑟 本 过 小 数据 包 站 名 
否 


否 


图 12.9 数据 包 过 滤 过 程 


2. P2P 包 过 滤 系统 的 关键 技术 

从 前 面 的 分 析 中 可 见 ,在 基于 特征 码 的 识别 方法 中 ,高 效 的 模式 匹配 算法 和 特征 码 的 提 
取 起 着 关键 作用 ,直接 影响 识别 的 性 能 。 常 用 的 模式 匹配 算法 有 BF 算法 .KMP 算法 、 
BM 算法 等 ,这 些 算 法 在 很 多 教材 中 都 有 介绍 , 且 有 现成 的 程序 代码 ,这 里 不 再 袭 述 。 

每 一 类 P2P 应 用 系统 的 数据 中 都 可 以 找到 相应 的 特征 码 , 这 些 字符 串 只 会 出 现在 特定 
的 P2P 应 用 中 ,可 以 被 用 来 进行 P2P 应 用 的 分 类 识别 。 一 般 可 以 通过 捕获 已 知 P2P 应 用 的 
网 络 数据 样本 ,分 析 其 中 的 应 用 数据 的 代码 来 找 出 这 些 特征 值 。 在 应 用 数据 包 中 能 够 用 于 
代表 该 P2P 应 用 的 特征 码 不 是 唯一 的 , 它 的 准确 选取 要 注意 以 下 两 点 : 

(1) 特征 码 字 节 过 多 , 则 特殊 性 强 , 易 产生 漏 报 , 且 计算 量 大 ,影响 检测 效率 ; 

(2) 特征 码 字 节 过 少 , 则 普遍 性 强 ,产生 误 报 。 

因此 ,特征 码 的 选取 是 一 种 综合 策略 ,其 目的 是 降低 漏 报 率 和 误 报 率 , 提高 检测 系统 的 
性 能 。 


12.5 P2P 应 用 系统 及 其 特征 码 分 析 案 例 


通过 前 面 的 介绍 可 知 ,基于 特征 码 的 P2P 流量 识别 系统 成 功 的 关键 是 特征 码 的 选取 ， 
本 节 通 过 分 析 当 前 两 种 主流 的 P2P 应 用 系统 的 工作 原理 ,以 及 提取 它们 的 特征 码 的 过 程 ， 
来 加 深 对 前 述 基本 原理 的 理解 。 选 取 的 P2P 应 用 案例 是 Bit Torrent 文件 共享 系统 和 
PPLive 网 络 视频 点 播 系统 。 

以 下 案例 分 析 的 实验 条 件 是 : 一 台 能 通过 校园 网 访问 互联 网 P2P 应 用 的 计算 机 ,配置 
在 中 上 水 平 ,作为 内 网 用 户 使 用 的 是 私有 IP 地 址 。 安 装 Wireshark 网 络 协议 分 析 软 件 , 捕 
获 本 机 访问 Bit Torrent 和 PPLive 应 用 系统 的 数据 ,详细 分 析 过 程 如 下 。 


12.5.1 案例 分 析 Bit Torrent 原理 及 其 特征 码 


Bit Torrent 一 般 被 认为 是 一 个 P2P 下 载 软件 ,但 严格 来 说 是 一 个 点 对 点 的 文件 共享 分 
发 协议 ,由 美国 的 布 莱 姆 。 科恩 编写 。 参 看 图 12. 10, Bit Torrent 系统 的 几 个 基本 概念 
如 下 : 

Q@ Bit Torrent 把 一 个 大 的 文件 (比如 电影 等 ) 分 为 几 个 数据 块 ( 块 的 字 节 数 必须 为 2 的 
整数 次 方 ) ,分 散 存 储 在 多 个 网 络 节点 中 ,节点 间 可 直接 相连 ,然后 互相 发 送 和 接收 文件 的 各 
部 分 ,直至 获得 整个 文件 。 

@ Bit Torrent 有 一 个 中 心 索引 服务 器 (Tracker) ,Tracker 服务 器 能 够 搜索 到 同时 在 下 
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载 和 上 传 同 一 文件 的 用 户 的 信息 (包括 IP 地 址 .端口 、 客 户 端 ID 等 ) ,构成 一 个 用 户 群 信息 
列表 ,其 他 客户 可 以 访问 Tracker 服务 器 获得 这 些 信 息 , 然 后 与 在 线 用 户 之 间 建 立 对 等 连 
接 。Bit Torrent 的 关键 思想 是 用 户 在 下 载 数据 的 同时 也 应 该 上 传 ,因此 参与 下 载 的 用 户 数 
量 越 多 ,下 载 速度 也 越 高 。 

@ Bit Torrent 版 本 5.2.2 采 用 了 DHT 网 络 信息 检索 技术 ,使 得 无 Tracker 服务 器 的 
协助 也 可 从 分 布 式 网 络 中 搜索 和 下 载 到 所 需 文件 。 在 DHT 网 络 中 ,每 个 客户 端 负责 一 个 
小 范围 的 路 由 ,并 负责 存储 一 小 部 分 文件 数据 块 ,从 而 实现 整个 DHT 网 络 的 分 布 式 寻 址 和 
存储 。 只 要 与 任何 一 个 已 经 在 DHT 网 络 中 的 节点 连接 上 ,客户 端 就 可 以 寻找 到 更 多 的 节 
点 ,从 而 连 入 网 络 。 

@ 种 子 (Seed): 若 构成 一 个 文件 的 所 有 数据 块 都 被 某 下 载 者 完整 地 下 载 , 该 下 载 者 就 

一 个 种 子 , 参 看 图 12. 10。 一 个 文件 的 首 任 发 布 者 本 身 就 是 原始 种 子 , 它 根据 要 发 布 的 
文件 生成 提供 一 个 . torrent 文件 , 即 种 子 文件 ,一 般 种 子 文件 中 都 提供 有 默认 节点 ,可 以 帮 
助 没有 连 和 节点 群 的 用 户 连 和 人 网络。 如 果 下 载 者 已 经 连 人 DHT 网 络 了 ,种 子 文件 里 填写 
的 Tracker 服务 器 地 址 就 不 需要 了 。 这 种 技术 的 好 处 是 大 大 减轻 了 Tracker 的 负担 (甚至 
不 需要 )。 用 户 之 间 可 以 更 快速 地 建立 通信 连接 ,特别 是 当 由 于 网 络 拥塞 等 原因 与 Tracker 
连接 不 上 的 时 候 。 不 过 Tracker 服务 器 在 Bit Torrent 协议 中 一 直 都 保留 着 。 目 前 基于 Bit 
Torrent 内 核 的 主要 P2P 软件 有 Bit Comet、Bit Spirit 等 。 


Bit Torrent 索 引 服务 器 Tracker 识 别 出 对 等 用 户 
群 ， 帮助 用 户 之 癌 搜 索 和 对 等 交换 文件 的 数据 块 -0 


Se 
i er 、、 文 件 


一 一 一 查询 流 
一 < 人 一 一 发 送 流 
用 户 同时 发 送 和 接收 文件 数据 块 ， 获 取 整 个 文件 文件 37% 一 一 一 下 载 流 


图 12.10 Bit Torrent 文件 共享 分 发 系统 的 原理 


1，Bit Torrent 的 工作 原理 

若 下 载 者 要 下 载 文件 内 容 , 需 要 先 得 到 相应 的 . torrent 种 子 文件 ,找到 相应 的 对 等 机 后 
使 用 BT 客户 端 软件 进行 下 载 。 下 载 时 ,BT 客户 端 首 先 从 . torrent 文件 中 得 到 Tracker 地 
址 ,然后 向 Tracker 索引 服务 器 发 送 请 求 。Tracker 服务 器 向 下 载 者 提供 其 他 下 载 者 (包括 
文件 发 布 者 ) 的 IP 地 址 。 下 载 者 再 与 其 他 下 载 者 连接 。 根 据 . torrent 文件 提供 的 信息 , 双 
方 分 别 向 对 方 告知 自己 已 经 存 有 的 文件 数据 块 ,然后 与 对 方 交换 自己 没有 的 数据 块 。 此 时 
就 不 需要 其 他 服务 器 参与 ,分 散 了 单个 线路 上 的 数据 流量 ,因此 减轻 了 服务 器 负担 。 下 载 者 
每 得 到 一 个 数据 块 ,需要 算出 下 载 块 的 Hash 验证 码 与 . torrent 文件 中 的 进行 对 比 ,如 果 相 
同 则 说 明 数 据 块 正确 ,不 同 则 需要 重新 下 载 这 个 块 。 这 种 规定 解决 了 下 载 内 容 的 准确 性 和 
完整 性 问题 。 

完整 的 Bit Torrent 协议 包括 三 个 部 分 : 种 子 文件 (. torrent 格式 ) .与 Tracker 服务 器 
交互 的 Track 协议 .与 其 他 peer 对 等 节点 交互 的 Bit Torrent 协议 。 下 面 以 实际 案例 来 说 
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明 Bit Torrent 协议 这 三 方面 的 工作 过 程 。 

(1) 种 子 文件 . torrent 的 结构 。 

.torrent 是 一 种 文本 信息 文件 ,采用 了 B 编码 ,包含 Tracker 信息 和 文件 信息 两 部 分 
Tracker。 信 息 主 要 是 BT 下 载 中 需要 用 到 的 Tracker 服务 器 的 地 址 ,文本 信息 主要 是 关于 
种 子 资源 的 一 些 描述 ,涉及 资源 的 创建 时 间 、 创 建 格式 等 。 图 12. 11 是 利用 Wireshark 捕获 
到 的 一 个 种 子 文件 . torrent 的 内 容 , 分 析 如 下 : 


d8'announce36:http btfans 3322.org:8000/announcel3 

announce-listll36:http //btfans 3322 org:8000/announceel40:http:// 
tracker killman net:2710/announceel39:http /tracker publicbt. com:80/ 
armounceel38.udp’//tracker publicbt com:80/announceee7 :comment774 
姊 一 够 次 10'created 。 by19BitSpirit/36033013:creation datei 
1269935202e8:encoding5:UTF-84:infod5:filesld6:lengthil90e4 pathl 
46: 锋 漠 垂 婢 人 他 urleed6.lengthil196e4:pathl49. 搬 崇 漆 强 底 ?urleed6 
‘lengthi196e4:path160: 镁 村 。 


图 12. 11 种 子 文件 . torrent 的 实例 


。 announce: Tracker 服务 器 的 URL, 本 例 中 为 http: //btfans. 3322. org:8000/announce。 

。 announce-list: 包含 其 他 Tracker 服务 器 的 URL 列表 。 

。 comment: . torrent 文件 创建 者 的 备注 信息 。 

。 created by: 制作 . torrent 文件 的 程序 信息 ,本 例 中 使 用 是 BitSpirit/3. 6. 0。 

。 creation date:. torrent 文件 的 创建 日 期 ,使 用 的 是 UNIX 格式 。 

。 encoding: 发 布 的 资源 使 用 的 编码 方式 ,在 本 例 中 使 用 的 是 UTF-84。 

。 info: 发 布 文件 的 信息 ,包括 文件 的 名 称 ,文件 块 的 大 小 等 信息 。 

(2) 客户 机 与 Tracker 服务 器 交互 的 Track 协议 报 文 。 

BT 客户 机 首先 向 . torrent 中 提供 的 Tracker 服务 器 URL 发 出 连接 请 求 ,然后 获得 正 
在 下 载 该 文件 的 Peer 列表 (主要 是 IP 地 址 和 端口 号 )。 通 过 分 析 发 现 ,客户 端 对 . torrent 
文件 中 的 每 一 个 Track 服务 器 都 进行 连接 。 

此 例 中 服务 器 btfans. 3322. org 的 IP 地 址 是 58. 215. 65. 245 ,tracker. killman. net 的 
IP 地 址 是 61. 147. 126. 88 ,tracker. publicbt. com 的 IP 地 址 是 85. 17. 80. 248。BT 客户 机 
IP 地 址 是 10. 0. 26. 19 ,与 Tracker 服务 器 的 交互 过 程 如 图 12. 12 所 示 。 


988 49.408306 10.0.26.19 58.215.65.245 
989 49.408393 10.0.26.19 58,.215.65.245 


990 49. 573249 58.215.65.245 10.0.26.19 


四 
<spm1ot > jiri ] Ac 
len > irdmi [PSH, ese 
irdmi > cspmlockmgr [ACK] Seq=1 At 


图 12.12 BT 客户 机 与 Tracker 服务 器 的 信息 交互 


参看 图 中 数据 ,第 984、987、988 号 包 是 BT 客户 机 与 Tracker 服务 器 建立 TCP 连接 的 
三 次 握手 (SYN ,SYN 十 ACK ,ACK)。BT 客户 端 通过 第 989 号 包 向 Tracker 服务 器 发 出 获 
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取 对 等 机 Peer 列表 的 请 求 ,L125 号 报 文 为 服务 器 的 应 答 。 第 L126 、L127、L138 号 报 文 是 
双方 关闭 连接 的 交互 过 程 (ACK,FIN 十 ACK,ACK)。 下 面 重点 分 析 第 989 号 和 L125 号 
报 文 。 

第 989 号 报 文中 BT 客户 机 向 服务 器 发 送 的 TCP 数据 载荷 的 内 容 如 图 12. 13 所 示 , 使 
用 GET 请 求 ( 关 于 GET 请 求 参看 表 6. 2) 。 其 中 一 些 字段 的 含义 如 下 : 


GET/ 
announce?iffo_hash=PO9%occ9%6129%6c69%61590dd%6a09009k9%ob59683963bo90 
98%09%63a%629%00b%f Il&peer_id=M6-4-0-- 
9%afF%2a9%bc9u9%0d4%09f%o1ccOR9%da&port=49002&uploadcd=0&downlo 
aded=0&left=1608286926&corrupt=0&key=87C41A12&numwant=200& 
compact=1l&no_peer_ id=1HTTP/1.1Host:btfans.3322.org:8000User- 
Agent: BitTorrent/6400(18095)Accept-Encoding: gzip 


图 12.13 第 989 号 包 客户 机 发 送 GET 请 求 包 内 容 


。 info_hash: 客户 机 发 送 的 . torrent 文件 中 的 info 信息 的 SHA-1 哈 希 值 ( 即 DHT)， 
采用 Unicode 编码 , 共 20 字 节 。tracker 服务 器 利用 它 查找 拥有 该 资源 的 peer 对 等 
节点 。 
。 peer_ id: 本 BT 客户 机 的 唯一 标志 ,在 客户 机 启动 时 产生 。 可 用 6 字 节 表示 一 个 对 
等 方 (前 4 字 节 表示 IP 地 址 ,后 2 字 节 表示 端口 号 ) 。 
。 port: 提供 本 机 下 载 的 端口 号 ,图 中 是 49002。 
。 uploaded/downloaded: 提供 上 传 /下 载 的 字 节 数 , 十 进 制 表示 。 
。 left: 本 机 还 缺少 多 少数 据 没 下 载 完 ,十 进 制 表 示 ,单位 为 字 节 。 
。 key: 可 选 。 扩 展 的 唯一 标志 ,即使 本 机 的 IP 地 址 改变 了 ,也 可 以 使 用 该 字段 的 标识 
找到 本 BT 客户 机 。 图 中 key 二 87 C4 1A 12 。 
。 compact: 压缩 标志 。 值 为 1 表示 本 对 等 机 接受 压缩 格式 , 值 为 0 表示 不 接受 。 
。 numwant: 可 选 。 客 户 机 希望 从 tracker 服务 器 得 到 的 对 等 方 的 数目 。 
Tracker 服务 器 中 有 专门 处 理 这 些 请 求 的 程序 ,在 收 到 客户 端 请 求 后 , Tracker 服务 器 
会 搜索 当时 正在 下 载 和 上 传 该 文件 的 节点 列表 ,然后 将 这 些 节 点 信息 (包括 IP 地 址 .端口 号 
等 ) 返 回 给 客户 机 。 图 12. 14 所 示 为 第 1125 号 报 文中 服务 器 对 客户 机 响应 的 TCP 数据 包 
载荷 内 容 ,注意 服务 器 返回 的 info_hash 与 客户 端的 请 求 是 相同 的 。 


HTTP/1.0302FoundLocation:http//61.147.124.211:8085/ 
scrape?info_hash=PO%ec%12%e6%15%dd%a0%OkY%bS%S 
3%3bo%98%09%3a%29%0b%f IPragma:no-cache 


图 12.14 第 1125 号 数据 包 中 服务 器 响应 的 内 容 


从 图 12. 14 中 可 以 看 出 ,Tracker 给 客户 机 返回 一 个 对 等 节点 (Peer) 的 URL, 其 中 IP 
地 址 为 61. 147. 124. 211 ,端口 为 8085。 还 包含 了 需 下 载 信息 的 Hash 值 ( 即 DHT 中 信息 的 
ID 标识 )。 
(3) BT 客户 机 以 对 等 机 身份 与 其 他 Peer 交互 的 Bit Torrent 协议 报 文 。 
BT 客户 机 与 Tracker 服务 器 提供 的 对 等 机 列表 中 的 Peer 节点 建立 连接 ,然后 下 载 所 
需要 的 资源 ,下 面 分 析 Peer 之 间 的 交互 过 程 。 如 图 12. 15 所 示 , 其 中 IP 地 址 192. 168. 0. 179 为 
。， 404。 


内 网 的 节点 A,221. 234. 59. 149 为 外 网 的 节点 B。 


No Time Sume rarinariom Eyeaoral jafo 

ZA80 119.53B662 1.234 .他 92 63.0 1 RaTor Hamdshakr 

348] 119,559457 192,168.0.179 221.214.59.149 BuaTar Tontinamee Dats 

248 |19.626817 221 .2H.59.149 192.153.0.179 BuTor Bitield, Len:Oxds 

M0 119.631159 192.168.0.179 221.234.59.149 BuTor lniemsed 

2493 119 . 的 2363 221.234. 弘 .04 192 168.0. 179 BuTor nieered Lnrhokr 

2495 119 .的 3133 192.168.0.19 221 .234 .39 .149 RuaTor Rrqves, Piree (deh 121, prpn'Dh8000 ,1rn'0xsd4ODD) 
2503 119.863273 I,168.0.179 221 234.59,149 BaiTor Rnivre Pieee (utel2L BecginDuc00D.lrntkd4000 
2606 1 ,455240 221 ,2 .59, 149 192.168.0.179 FiTor Poree, [dx:Ou121, Hegin-DuB000, Len:0x4000 

W608 14 .465267 192. 168.0.179 221.234.59.149 FalTor Request, Viece NdicOx tt Bc5inox10000.LerDei00D 
27131 135. T80560 2 .2M.59.149 192.163.0.179 HiTor Prece, dx-Ou]2f. begn-OucO00. Len Ou4000 

2732 135.781303 192. 168.0.179 221.234,59,.149 BuTor Requme、Pirce (dn:Ox2ht, Regn On0 ,len:Oxd4000) 
2755 I. 29658 1 和 08.0.1 221 234,59,149 RuTor BirTorerm 

370 6 其 17 221,2M4.59.149 192.168.0.179 FaiTor Peee, Idx:O1121,Begin:On 10000,1en:0s4000 

3762 136.460771 192. 168.0.179 221.234.59.149 FhiTor Request,. Piece (ldr:0x2bl, Begin:0s4000, Len:0s4000) 
2790 137.%9230 1.24.5%9.19 192.168.0.179 aiTor Prece. lde:On2bt. pemnm:0n0 .lzni0od000 

2791 DT7T-370137 192.168.0.179 221 ,234,59,149 FTor Re、 Pirer (du:0x2, Brpin:OrB000 ,17n:04000) 
2818 1 23483383 -221.2%4.59.149 -192,168.0.179 BiTor CC Pyeee, Hdx-0r2b, Rryen-DiAO00, Irn:0x4000 

2820 138 249223 -192,168 0,179 221 ,234,59,149 WT Rrques, Piree (di:2b, Begin:DeO00 .Len:OuW000) 
2355 139 .457237 R12M 9 149 192.168.0.179 RiTor Piree 1dcDeh HegpnOn8000 Le A0O0N 

2859 139.494304 -192.168.0.179 221.234.59.149 FilTor Requer Pieee Oduds2bt Hemn0ul0000.Hrrok4000 
2922 141.462465 C221.234.$9.149 9.168.0.179 To Pyree ldeOs2ht, Romrnoe000.lcntk4000 

2924 141.463447 192. 16% 0,179 221 224 ,和 .14 To Rrqur Perew Ode 2 ReginOu14000, LraDd000 


图 12.15 对 等 节点 Peer 之 间 交 换 报 文 的 过 程 


对 等 节点 之 间 首先 三 次 握手 建立 TCP 连接 ,然后 它们 之 间 的 交互 过 程 包括 以 下 


第 一 步 ,握手 ,通过 Handshake 报 文 实现 。 即 本 例 中 的 第 2480 和 2481 号 数据 包 。 

第 二 步 ,通报 双方 所 拥有 的 资源 情况 ,通过 Bit field 报 文 实现 。 在 第 2487 号 数据 包 中 
节点 也 向 节点 A 公布 了 自己 的 资源 拥有 情况 。Bit field 是 握手 之 后 的 第 一 个 报 文 , 它 的 内 
容 表明 了 资源 Peer 拥有 哪些 文件 子 块 ,拥有 文件 块 的 序号 所 对 应 的 bit 设置 为 1, 没有 的 设 
置 为 0, 如 图 12. 16 所 示 。 其 中 0x9400 的 二 进 制 数 为 1001010000000000 ,形象 地 表示 节点 
B 已 经 拥有 第 0、3、5 号 文件 块 。 


S BitTorrent 
© Message: Len:193, Bitfield, Len:0xcO 
Message Length: 193 
Message Type; Bitfield (5) 
Bitfield data: 240000000000000400000000000000000048000000000000.. . 


二 进 制 为 : 1001010000000000 


图 12.16 Bit field 报 文 信息 


第 三 步 ,互相 通报 自己 对 资源 的 意愿 情况 ,包括 interested、 not interested 、choke、 
unchoke 四 种 。 本 例 中 通过 第 2490 和 2493 号 数据 包 实 现 ,Peer 之 间 要 发 生 数 据 传输 ,那么 
它们 的 状态 必须 一 端 是 interested, 男 一 端 是 unchoke。 关 于 choke 和 interest 的 解释 如 下 。 

举例 : 车 有 一 个 文件 被 分 为 0,1,2,3,4 共 5 个 文件 子 块 ,分 别 存在 网 络 上 的 各 对 等 节 
点 中 。 现 在 有 两 个 Peer 建立 了 连接 ,分别 叫 A 和 B。 

Interested: 如 果 A 没有 块 1, 而 B 有 块 1, 就 是 说 BB 有 A 需要 的 块 。 则 A 的 状态 是 
interested。 

Not interested: 如 果 A 已 经 有 块 1, 而 BB 只 有 块 1, 就 是 说 BB 没有 A 需要 的 块 。 那么 


A 的 状态 是 not interested。 
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Choke: 如 果 因 为 某 种 原因 ( 短 罚 期 ) ,B 将 在 某 段 时 间 内 不 给 A 发 送 任何 数据 ,那么 在 
这 段 时 间 里 B 的 状态 就 是 choke。 

Unchoke: 惩罚 期 过 后 ,choke 状态 解除 ,B 的 状态 就 变 为 unchoke。 

第 四 步 ,互相 请 求 资源 ,通过 request piece 来 请 求 想 要 得 到 的 资源 数据 。piece 是 对 
request piece 的 应 答 , 本 例 中 通过 第 2495 和 2696 号 数据 包 实 现 , request piece 的 报 文 如 
图 12. 17 所 示 ,piece 报 文 信息 如 图 12. 18 所 示 。 


orrent 
SB Message: Len:13, Request, Piece (Idx:0x3a2,Begin:0xB8000,Len:0x4000) 
Message Length: 13 
Message Type: Request (6) 
Piece index: Ox000003a2 
Begin offset of piece: 0x00008000 
Piece Length: 0x00004000 


图 12.17 发 送 的 Request 请 求 报 文 信息 


Ferr 
日 Message: Len:16393, Piece, Idx:Ox3a2, Begin:0x4000,Len:0x4000 
Message Length: 16393 
Message Type: Piece (7) 
piece 1ndex: 0x000003a2 
Begin offset of piece: 0x00400000 
Data in a piece: C999258F95C3E92022208020116AAC07835762D5A2CELFC9. . - 


图 12.18 接收 到 的 piece 报 文 信息 


图 12. 17 是 一 个 Request 请 求 报 文 ,其 中 包含 的 信息 解释 如 下 : 


Message length: 13 // 报 文 的 长 度 为 13B 

Message Type: Request (6) // 本 报 文 的 类 型 是 "请 求 ", 6 表示 Request 
Piece index: 0x000003a2 // 资 源 片段 的 ID 标志 

Begin offset of piece: 0x000800 // 资 源 片 的 起 始 字 节 的 地 址 偏 移 量 

Piece length: 0x00004000 // 资 源 片段 的 长 度 ,为 4X16’= 16384B 


图 12. 18 为 piece( 即 报 文 的 数据 块 ) 报 文 信息 ,是 对 request 请 求 的 response 响应 ,提供 
了 request 中 要 求 的 资源 片 的 数据 信息 , 报 文 内 容 与 图 12. 17 中 的 Request 相似 : 报 文 的 总 
长 度 为 16393 字 节 , 报 文 类 型 为 piece, 资 源 片 的 ID 为 0x000003a2 ,资源 片 起 始 字 节 的 地 址 
偏 移 量 为 0x00400000 ,资源 片 的 数据 信息 。 

第 五 步 , 断 开 连接 。 因 Peer 之 间 交 互 使 用 了 TCP 连接 ,对 等 方 A 与 对 等 方 B 断 开 连 
接 时 ,只 需要 断 开 它们 之 间 的 TCP 连接 即 可 。 

通过 上 述 实例 分 析 ,Bit Torrent 协议 的 工作 过 程 总 结 如 下 : 

(1) 资源 发 布 者 制作 . torrent 文件 并 上 传 到 种 子 发 布 站 点 。 

(2) BT 客户 机 获取 . torrent 文件 ,并 向 . torrent 文件 中 提供 的 Tracker 服务 器 依次 发 
起 连接 请 求 ,通过 与 Tracker 服务 器 建立 TCP 连接 并 获取 对 等 列表 。 

(3) BT 客户 机 向 列表 中 的 对 等 方 peer 发 起 连接 请 求 , 因 为 对 等 方 列表 中 的 Peer 个 数 
比较 多 ,所 以 会 在 短 时 间 内 发 出 大 量 TCP 连接 请 求 报 文 。 

(4) 如 果 连 接 建 立成 功 ,BT 节点 之 间 通 过 Handshake 报 文 进行 握手 ,利用 Bit field 报 
文通 报 各 自 拥有 的 资源 。 然 后 使 用 interested not interested .choke 和 unchoke 四 种 包 互 通 
对 资源 的 意愿 情况 ,之 后 通过 Request Piece 和 Piece 包 传 输 资源 。 
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(5) 资源 传输 完毕 ,关闭 TCP 连接 。 

2. Bit Torrent 特征 码 的 分 析 

Bit Torrent 在 传输 数据 时 ,由 握手 报 文 开 始 ,在 握手 报 文中 载荷 数据 以 "0x13? 开 头 , 后 
面 紧 跟着 的 是 19 字 节 长 的 字符 串 ,ASCII 码 为 “Bit Torrent protocol”, 如 果 报 文 的 载荷 中 
出 现 了 字符 串 “Bit Torrent protocol”, 那么 就 表明 该 节点 使 用 BT 协议 了 ,协议 格式 
如 图 12. 19 所 示 。 


CE See Testimatie retees mtfe 本 

594 37.384823 114.42.102.154 10; 19 Torr e 

655 41.463823 。 123.202.177.81 10.0.26.19 BitTorr Handshake 图 
| 加 


@ 
I[® Transmission Control Protocol, Src Port: 25036 (25036), Dst Port: m2pa (3565), | 
厅 BitTorrent 加 


‘ 加 
42 69 74 54 6f 72 72 65 6e 74 20 70 72 :¥.BitTo rrent pr A| 
Otocol.. ...... Po | 
060 sueok 。 1O。。 2) 
070 “5p360 3,,eéF,q E| 
i | 丽 


数据 包 载 荷 特征 码 ASCII 码 为 : BitTorrent protocol 


图 12. 19 Bit Torrent 的 特征 码 分 析 


使 用 的 传输 层 协议 为 TCP ,特征 码 的 ASCII 值 为 "Bit Torrent protocol”, 位 于 TCP 数 
据 包 中 的 第 0043 一 0055 号 字 节 。 数 据 包 载荷 的 解释 如 下 。 


13 // 开 始 标识 ,1B 
42 6974 54 6f 72 72 65 6e 74 20 70 72 6f 74 6f 63 6f 6c 

//BT 特征 字符 串 ,ASCII 码 值 为 "Bit Torrent protocol", 共 19B 
00 00 00 00 00 10 00 04 // 保 留 字 节 , 8B 
504fecl2e615dda0096bb5833b6f98093a290bfl ”//.torrent 文件 中 info 信息 的 sHA-1 哈 希 值 
2d535033363033110e652646cb718bbe06fba739 ”// 对 等 节点 的 ID, 20B 


表 12. 4 为 此 案例 中 Bit Torrent 的 特征 码 。 可 将 此 特征 码 设置 为 人 侵 检测 系统 的 判定 
依据 ,以 实现 对 BT 应 用 的 网 络 数 据 流 的 识别 控制 和 管理 。 


表 12.4 P2P 应 用 系统 Bit Torrent 的 特征 码 


应 用 系统 协议 特 征 码 特征 码 位 置 
0x13 42 69 74 54 6f 72 72 65 6e 74 20 70 72 6f 74 6f 63 
Bit Torrent | TCP | * he 0043 一 0055 字 节 


6f 6c(ASCII 码 为 Bit Torrent protocol) 


12.5.2 PPlive 的 工作 过 程 


PPlive 是 一 款 全 球 安装 量 最 大 的 P2P 网 络 电视 点 播 软件 ,支持 对 海量 高 清 影视 节目 的 
直播 十 点 播 功 能 。 可 在 线 观 看 电影 .电视 剧 .动漫 综艺、 体育 直播 .游戏 竞技 .财经 资讯 等 丰 
富 的 视频 娱乐 节目 。 在 线 观 看 的 人 越 多 则 数据 下 载 越 流畅 ,完全 免费 ,是 广 受 用 户 推崇 的 流 
媒体 P2P 软件 。 

PPLive 由 上 海 聚 力 传媒 技术 有 限 公司 开 发 ,是 具有 自主 研发 专利 PPCloud 流 媒体 云 技术 
的 网 络 平台 ,其 中 包括 PPTV 网 络 电视 客户 端 软 件 , 高 清 影视 门户 网 站 (www. pptv. com)、 
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视频 搜索 .视频 加 速 (PPVA) 等 网 络 电视 直播 十 点 播 软件 产品 。 

1. PPlive 的 系统 结构 

PPlive( 版 本 1. 9. 47) 有 三 个 固定 的 服务 器 群 ,分 别 为 Tracker、 资 源 服务 器 、 启 动 服务 
器 ,下面 分 四 个 阶段 来 分 析 PPlive 的 工作 过 程 ,如 图 12. 20 所 示 。 


下 载 端 对 等 节点 Tracker 地 


资源 服务 器 启动 服务 器 
三 上 =---| 连接 启动 服务 器 ”三 一 -一 二 一- 一 一 一 一 一 一 二 二 二 二 二 二 一 | 
| ee a | 局 返回 频道 列表 ，Tracker 等 信息 上 -一 刁 
观看 
节目 
拖 动 
一 上 | 返回 信息 上 
退出 厂 -1 福 册 退 出 [= 三 === 守 二 二 一 | 
-HH 退出 he 
1 1 1 1 1 


图 12. 20 PPlive 网 络 视频 点 播 的 工作 过 程 


(1) 启动 阶段 。 

PPlive 的 客户 端 启动 后 ,首先 进行 DNS 查询 ,获得 启动 服务 器 的 IP 地 址 ,然后 向 启动 
服务 器 发 起 TCP 连接 ,要 求 启动 服务 器 返回 节目 列表 、 更 新 信息 、 本 地 ISP 的 Tracker 服务 
器 列表 等 。 获 取 本 地 ISP 网 络 内 的 Tracker 列表 后 ,向 其 注册 本 机 的 基本 信息 (拥有 的 资源 
情况 等 ), 同 时 每 隔 一 段 时 间 向 Tracker 进行 Keep-alive 保持 连接 的 操作 。 

(2) 观看 节目 。 

PPlive 的 客服 端 若 要 观看 一 部 影片 时 ,首先 从 节目 列表 中 得 到 资源 服务 器 地 址 ,同时 向 
Tracker 获取 一 批 拥 有 该 影片 数据 的 在 线 Peer 地 址 (包括 正在 观看 影片 和 本 地 有 数据 而 不 
在 观看 的 Peer) ,分 别 向 这 些 Peer 请 求 资源 片段 ,同时 把 正在 观看 影片 的 Peer 加 入 到 邻居 
列表 中 。 当 收 到 Tracker 返回 的 Peer 的 资源 索引 后 ,立即 向 这 些 Peer 发 出 数据 下 载 请 求 。 
所 有 拥有 影片 数据 的 节点 组 成 了 一 个 网 状 网 络 . 其 中 正在 观看 影片 的 对 等 节点 作为 负责 该 
网 络 的 建立 者 和 维护 者 。 
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在 下 载 数据 的 初始 阶段 ,资源 服务 器 作为 一 个 普通 的 Peer 加 入 到 下 载 请 求 列表 中 。 影 
片 数据 有 一 部 分 可 以 从 资源 服务 器 获得 , 当 本 地 的 缓冲 数据 到 达 一 定数 量 后 ,资源 服务 器 会 
逐渐 退出 下 载 任务 ,其 余 的 影片 数据 下 载 向 其 他 Peer 获取 。 当 对 等 机 Peer 的 数量 及 资源 
分 布 不 够 时 ,资源 服务 器 会 被 重新 使 用 ,作为 数据 下 载 的 补足 ,以 保证 播放 的 质量 和 连续 性 。 

在 用 户主 机 上 已 经 播放 过 的 影片 数据 会 被 存储 在 本 地 硬盘 和 缓存 中 ,可 以 提供 影片 快 
速 回 拖 播放 功能 ,同时 可 以 将 这 些 影 片 数据 提供 给 网 络 中 的 其 他 对 等 节点 使 用 。 

(3) 影片 的 拖 动 和 暂停 。 

PPlive 用 户 观看 影片 时 ,可 向 前 或 向 后 拖 动 进 度 条 定位 到 某 个 时 间 点 开始 播放 影片 。 
系统 会 先 检查 本 地 硬盘 是 否 已 有 数据 ,如 有 则 直接 快速 启动 播放 器 播放 影片 ,否则 ,继续 向 
正在 使 用 该 资源 的 Peer 下 载 所 需 的 数据 , 待 缓冲 区 充足 后 再 启动 播放 器 播放 影片 。 

当 影 片 播放 完毕 或 用 户 手 动 停止 ,系统 会 通知 当前 的 邻居 节点 自己 已 经 停止 播放 ,这 些 
邻居 节点 会 删除 相应 记录 ,此 时 数据 下 载 任 务 结束 ,但 数据 上 传 服务 不 会 停止 。 

(4) 退出 。 

PPlive 客户 端 退出 系统 时 ,首先 要 退出 P2P 网 络 ,通知 自己 的 邻居 节点 和 所 有 正在 向 
自己 请 求 的 节点 并 向 它们 发 送 退出 消息 ,向 所 注册 的 Tracker 通知 退出 消息 。 

2. PPlive 的 特征 分 析 

PPlive 在 通信 过 程 中 ,主要 有 四 种 报 文 : 与 启动 服务 器 交互 的 报 文 ;与 Tracker 交互 的 
报 文 ;与 资源 服务 器 交互 的 报 文 ;与 邻居 节点 交互 的 报 文 。 以 下 是 对 PPlive 网 络 数据 流 的 
捕获 与 特征 分 析 案 例 ( 仅 供 参考 ) 。 

(1) 与 本 地 节点 交互 的 报 文 : 如 图 12. 21 所 示 ,通信 双方 是 私有 IP 地 址 ,传输 层 使 用 
UDP 协议 ,特征 码 为 “0xfe 04 f9 of”, 特 征 码 出 现在 UDP 数据 包 的 第 0008 一 000b 字 节 。 


rT Srmp OesTination po 
srmo 0estination or Y 
> 
全 Ethernet 11, Src: IntelCor_34:a3:5b (00:1c:c0:34:a3:5b), Dst: Honhatpr_2e:4d:ca (00:22:68:2A 
Internet protocol, Src: 192.168.0.176 (192.168.0.176), Dst: 192.168.0.200 (192.168.0.200) 


图 User Datagram Protoco], Src Port: srmp (161), Dst Port; afs3-callback (7001) 
Dara (706R hvre<Y 立 


I 
UDP 数 据 包 载荷 | [特征 码 : fe04 介 0f | 


图 12.21 主机 与 相 邻 节点 交互 报 文 的 特征 码 


(2) 与 公 网 IP 交互 的 报 文 : 如 图 12. 22 所 示 , 这 时 与 本 机 通信 的 另 一 方 是 公 网 IP 地 
址 ,使 用 UDP 协议。 这 时 的 特征 有 两 种 情况 ,一 种 是 特征 码 出 现在 头 几 个 字 节 ,如 图 12. 22 
中 的 特征 码 为 “0x 2100 或 0x2200” ,特征 码 在 UDP 数据 报 的 第 002a 一 002b 字 节 。 另 一 种 
是 特征 码 出 现在 中 间 的 字 节 ,如 图 12. 23 所 示 。 图 12. 23 中 的 特征 码 为 “0x01 00 00”, 特 征 
码 出 现 UDP 数据 报 的 第 0034 一 0036 字 节 。 为 简明 起 见 , 把 分 析 得 到 的 PPlive 的 特征 码 列 
入 表 12. 5 中 以 供 参 考 。 
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000 00 0 四 LE. 
010 00 50 9e 29 00 00 30 11 95 58 see 
020 08 18 24 41 lb bc 00 4C b8 4d[21 00 d0 de 1d 18] -和 

030 [49 co 55 o4 TOL re ol Te 52 70 70 70 2 ppppp 
040| 70 70 70 70 70 70 70 70 70 70 70 7 70 70 70 70| pppppppp pppppppp 
050| 70 70 70 70 70 70 70 70 70 70 70 70\70 70 70 70| pppppppp pppppppp 
060| 70 70 70 70 70 70 70 70 70 70 70 70Yo 70 Pppppppp ppPppPP 


UDP 数据 包 载荷 特征 码 : 2100 


图 12.22 特征 码 在 开头 的 情况 


UDP 数据 包 载荷 特征 码 : 010000 


图 12.23 特征 码 在 中 间 的 情况 


表 12.5 PPlvie 特征 码 
P2P 应 用 系统 传输 层 协 议 特 征 码 特征 码 位 置 
UDP Ox fe 04 f9 of 第 0008 一 000b 字 节 


ppive TI 第 002 -00 字 市 
ox 0 00 00 第 0034 0036 守节 


12.5.3 P2P 应 用 系统 的 特征 码 提取 方法 总 结 


通过 对 上 述 Bit Torrent、PPlive 这 两 个 典型 的 P2P 应 用 系统 特征 码 的 分 析 过 程 ,可 总 
结 出 对 特征 码 的 提取 应 注意 以 下 几 点 。 

(1) 在 一 个 P2P 网 络 应 用 数据 流 中 的 特征 码 的 选择 不 是 唯一 的 ,应 当选 取 最 具有 代表 
性 的 字段 作为 对 该 应 用 数据 包 识别 的 依据 。 尽 量 在 一 个 连接 中 的 前 几 个 数据 包 中 寻找 和 选 
取 特 征 码 。 

(2) 特征 码 一 般 出 现在 UDP/TCP 数据 载荷 的 前 面 几 个 字 节 ,所 以 在 提取 特征 码 时 一 
般 只 需 注意 前 面 的 字 节 。 以 前 20B 为 限 。 

(3) P2P 通信 时 传输 层 的 协议 多 为 UDP 协议 。 由 于 P2P 应 用 过 程 中 流量 最 大 的 时 候 
是 内 容 下 载 阶段 的 流量 ,因此 找到 内 容 下 载 阶段 P2P 流 的 特征 码 , 有 着 重要 意义 。 从 目前 
主流 的 P2P 软件 来 看 ,数据 下 载 多 使 用 UDP 协议 ,因此 可 优先 查找 UDP 协议 包 中 特征 码 。 

(4) 特征 码 的 字符 串 一 般 比 较 短 。 特 征 码 一 般 都 不 会 很 长 , 太 长 的 特征 码 增加 了 算法 
的 复杂 度 , 所 以 在 选取 时 如 果 一 开始 选取 的 特征 码 太 长 ,这 时 就 要 注意 了 ,要 尽量 多 对 比 , 找 
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到 合适 的 特征 码 。 

(5) 同一 个 P2P 应 用 系统 的 不 同 版 本 ,数据 流 中 的 特征 码 有 一 定 的 差异 。 

(6) 先 了 解 P2P 应 用 系统 的 工作 原理 ,可 以 提高 分 析 获 取 特 征 码 的 效率 和 准确 性 。 

(7) 寻找 非 P2P 流量 的 特征 码 也 有 重要 意义 ,能 够 首先 排除 非 P2P 流量 ,避免 不 必要 
的 匹配 。 

对 P2P 流量 检测 和 监控 问题 的 研究 是 有 一 些 困难 的 ,因为 各 种 P2P 应 用 种 类 繁多 , 单 
一 特征 很 难 刻画 出 它们 的 性 质 。 此 外 ,很 多 P2P 应 用 为 了 逃避 检测 采用 了 很 多 隐蔽 流量 的 
办 法 ,如 动态 端口 .协议 加 密 和 HTTP 伪装 等 。 这 些 都 造成 了 P2P 检测 的 困难 , 现 有 的 检 
测 方法 主要 有 三 类 : 基于 端口 、 基 于 特征 码 、 基 于 流量 的 普 适 应 特征 检测 。 基 于 端口 的 流量 
识别 方法 效率 较 低 ,基于 P2P 流量 普 适 应 特征 的 识别 方法 尚 不 能 对 P2P 流量 进行 细致 的 划 
分 ,还 需要 进一步 完善 ,而 基于 特征 码 的 识别 方法 是 目前 较 常 用 的 方法 ,实现 较为 简单 。 然 
而 它 的 缺点 也 很 明显 ,对 P2P 的 识别 受 限于 规则 库 的 完备 性 , 它 无 法 检测 不 在 规则 库 中 的 
P2P 流量 ,对 流量 加 密 的 P2P 应 用 (如 Skype 等 ) 无 法 识别 。 

基于 P2P 流量 的 普 适 应 特征 和 基于 特征 码 这 两 种 方法 是 研究 和 应 用 的 重点 。 本 节 介 
绍 的 基于 特征 码 识别 的 案例 分 析 ,成 功 的 关键 在 于 特征 码 的 正确 获取 。 在 网 络 安全 监管 中 
对 P2P 流量 检测 和 识别 的 工作 应 该 从 以 下 几 方面 出 发 : 

(1) P2P 应 用 的 特征 码 可 能 会 发 生变 化 ,需要 经 常 通过 网 络 数据 取样 分 析 来 提取 正确 
的 特征 码 。 

(2) 目前 对 P2P 应 用 特征 码 的 提取 多 依赖 于 人 工分 析 , 应 该 研究 如 何 自动 提取 。 

(3) 解决 好 重量 级 P2P 应 用 的 流量 识别 问题 ,是 解决 网 络 管理 实际 问题 的 关键 ,对 各 种 
新 出 现 的 P2P 应 用 要 做 更 深 一 步 的 研究 工作 。 

(4) 对 一 些 采 用 加 密 报 文 传输 的 P2P 应 用 做 研究 . 找 出 识别 它们 的 方法 。 


习题 与 实践 


1. 简 述 Peer to Peer 应 用 模式 与 客户 机 /服务 器 应 用 模式 的 优点 和 缺点 ,分 别 从 网 络 管 
理 的 方便 性 敏感 信息 泄露 的 可 控 性 、 信 息 发 布 效率 、 数 据 传 输 的 实时 性 等 几 个 方面 进行 讨 
论 和 比较 。 

2. 什么 是 结构 化 和 非 结构 化 的 P2P 网 络 应 用 系统 之 间 的 差别 ? 各 自 的 优 缺 点 是 什么 ? 

3. 在 自己 知道 或 使 用 过 的 P2P 应 用 系统 中 ,哪些 是 中 心 式 P2P 应 用 系统 ?哪些 是 纯 
P2P 应 用 系统 ?哪些 是 混合 式 P2P 应 用 系统 ? 各 自 的 优 缺 点 是 什么 ? 

4. 为 什么 在 结构 化 的 P2P 网 络 应 用 系统 中 要 使 用 DHT 分 布 式 散 列表 ? 它 的 优 缺点 
是 什么 ? 

5. 利用 文件 名 或 文件 内 容 的 SHA-1 哈 希 值 作为 文件 的 ID 标识 ;各 有 什么 优 缺 点 ? 什 
么 是 散 列 函数 的 单 向 性 、 弱 冲突 的 抗拒 性 、 强 冲突 的 抗拒 性 ? 哈 希 值 的 长 度 选取 与 这 三 种 特 
性 有 何 关系 ? 

6. 你 使 用 过 QQ 吗 ? 研究 和 分 析 QQ 网 络 应 用 系统 的 工作 原理 ,采用 Wireshark 捕获 
与 分 析 在 使 用 QQ 聊天 时 候 的 计算 机 网 络 数据 流 . 从 中 分 析 和 提取 最 佳 的 特征 码 。 
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7. 从 网 络 搜索 和 下 载 Snort 入 侵 检测 软件 ,研究 其 使 用 方法 ,如 何 将 获取 的 P2P 应 用 
的 特征 码 设置 在 该 软件 系统 中 ,作为 人 侵 检测 的 判定 依据 ? 

8. 分 析 比 较 基 于 互联 网 的 P2P 视频 点 播 系统 与 数字 有 线 电视 系统 的 优 缺点 ,从 视频 节 
日 容量 、 网 络 传输 容量 、 清 晰 度 、 使 用 费 率 等 几 个 方面 进行 分 析 比 较 。 

9. 分 析 比 较 在 互联 网 游戏 中 采用 P2P 技术 的 优点 和 缺点 ,上 网 搜索 关于 P2P 网 络 游 
戏 的 介绍 ,并 提出 自己 的 观点 和 看 法 。 
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附录 A 传输 层 常用 的 端口 号 


网 络 通信 时 传输 层 的 TCP/UDP/SCTP 协议 都 使 用 端口 号 来 标识 主机 与 主机 的 各 进 
程 之 间 的 通信 连接 。 一 个 端口 号 与 一 个 IP 地 址 的 组 合 标 识 了 一 个 TCP/UDP/SCTP 的 终 
端 结 点 ,在 连接 双方 的 两 个 终端 节点 之 间 由 此 建立 一 个 TCP/UDP/SCTP 的 会 话 进程 。 

由 于 互联 网 层 的 IP 协议 只 能 完成 两 个 网 络 主机 之 间 的 数据 传输 ,而 两 个 网 络 主机 之 间 
通常 要 传输 多 种 不 同 的 TCP/VUDP/SCTP 的 应 用 数据 ,通过 不 同 的 端口 号 就 提供 了 在 两 个 
网 络 主机 之 间 的 多 个 逻辑 连接 通道 。 当 发 送 数据 包 时 ,TCP/UDP 在 一 个 IP 的 “主机 对 主 
机 ”的 传输 信道 上 ,用 不 同 的 端口 号 进行 多 路 复 用 传输 若干 个 应 用 进程 的 数据 。 在 接收 端 ， 
TCP/UDP 根据 端口 号 将 这 些 IP 包 分 别 送 到 相应 的 应 用 进程 ,由 此 建立 “进程 到 进程 ”的 传 
输 。 这 种 多 路 复 用 传输 和 接收 分 离 的 过 程 是 利用 端口 号 来 实现 的 , 见 图 5. 1。 端 口号 使 用 
16 位 的 二 进 制 数 表示 ,数值 范围 是 0 一 65 535。 

端口 号 分 为 三 类 : 

(1) 0~1023 是 公认 端口 号 ; 

(2) 1024 一 49 151 为 注册 端口 号 ; 

(3) 49 152 一 65 535 为 动态 使 用 或 私有 端口 号 。 大 于 1024 的 端口 号 也 称 为 临时 并 
口号 。 

公认 端口 号 通过 Internet Assigned Numbers Authority (IANA) 进 行 官 方 注册 。 而 非 

公认 的 端口 号 列表 由 一 些 公 司 和 机 构 进行 管理 ,可 参考 如 下 URL: 
http://www.seifried.org/securityports/ 

http://www.bekkoame .ne.jp/~s_ita/port/port1l- 99.html 


http://www.networksorcery.com/enp/protocol/ip/ports00000.htm 


http://www.neohapsis.com/neolabs/neo-ports/ 


表 A.1 TCP/UDP 常用 的 端口 号 


端口 | TCP/UDP 端口 名 称 说 明 
端口 号 0 由 IANA 所 保留 。 在 大 部 分 操作 系统 中 使 用 0 号 
0 端口 将 会 自动 地 转 为 一 个 随机 的 临时 端口 号 。 通 常 网 络 数 
据 流 中 不 会 出 现 0 号 端口 
| tcpmux TCP 端口 多 路 复 用 业务 (RFC 1078) 


2 TCP,UDP | compressnet Management Utility 管理 工具 


3 TCP,UDP | compressnet Compression Process 压缩 进程 


8 TCP,UDP | re Remote Job Entry 远程 工作 项 目 


7 |TcP,UDP | echo EchoProtocol(RFC 862)Ping 的 应 答 协议 


9 | TCP.UDP | discard, sink, null Discard Protocol(RFC 863) 抛 弃 、 接 纳 、 零 信号 协议 
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端口 | TCP/UDP 端口 名 称 说 明 
11 |TCP,UDP | systat,users ActiveUsersProtocol (RFC 866 ) 活 动用 户 协议 


Daytime Protocol (RFC 867) (This is not the same thing as 


13 | TCP,UDP | dayti 
SS Network Time Protocob) 日 期 时 间 协 议 


15 Unassigned Was netstat 未 指定 ,曾经 用 于 netstat 
17 | TCP,UDP | qotd,quote QuoteOfTheDayProtocol (RFC 865) 日 期 协议 的 引用 
18 | TCP,UDP | msp MessageSendProtocol (RFC 1159,RFC 1312) 消息 发 送 协议 


19 | TCP,UDP | chargen,ttytst,source| CharacterGeneratorProtocol (RFC 864) 字 符 产 生 协 议 


20 |TCP ftp-data Default FTP data port 默认 的 文件 传输 数据 端口 
ul | TER ftp FileTransferProtocol (RFC 959) 文 件 传输 协议 
22 | TCP Ssh SecureShell(Cdrafb 安全 框架 (草案 ) 

23 | TOP telnet Telnet (RFC 854) 远 程 登 录 

24 TCP,UDP | Reserved Any private mail system 保留 ,私有 邮件 系统 
25 | TCP smtp SimpleMailTransferProtocol (RFC 2821) 

27 | TCP,UDP | nsw-fe NSW User System FE 

29 | TCP,UDP | msg-icp MSG ICP 

31 | TCP,UDP | msg-auth MSG Authentication 

33 | TCP,UDP | dsp Display Support Protocol 

35 | TCP,UDP | Reserved Any private printer server 


Time Protocol (RFC 868) (Thi 
Network Time Protocol) 


is not the same thing as 


37 | TCP,UDP | time,timeserver 


38 | TCP,UDP | rap RouteAccessProtocol (RFC 1476) 

39 | UDP rlp ResourceLocationProtocol (RFC 887) 
41 | TCP,UDP | grapics Graphics 

42 | UDP nameserver Internet Name Server (IEN 116) 

43 | TCP whois ,nicname WhoisProtocol (RFC 954) 

44 | TCP,UDP | mpm-flags MPM FLAGS Protocol 

45 | TCP,UDP | mpm Message Processing Module[reev] 

46 | TCP,UDP | mpm-snd MPM[ default send] 

47 | TCP,UDP | niftp NI FTP 

48 | TCP,UDP | auditd Digital Audit Daemon 

49 | TCP,UDP | tacacs TacacsProtocol (RFC 1492) 

50 | TCP,UDP | remail-ck Remote Mail Checking Protocol (RFC 1339) 
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续 表 


端口 | TCP/UDP 端口 名 称 说 明 
51 | TCP,UDP | la-maint IMP Logical Address Maintenance 
52 | TCP,UDP | xns-time XNS Time Protocol 
53 | TCP, UDP a mee Domain Name System (many RFCs) 
54 | TCP,UDP | xns-ch XNS Clearinghouse 
55 | TCP,UDP | isigl ISI Graphics Language 
56 | TCP,UDP | xns-auth XNS Authentication 
57 | TCP,UDP | Reserved Any private terminal access 
58 | TCP,UDP | xns-mail XNS Mail 
59 | TCP,UDP | Reserved Any private file service 
61 TCP,UDP | ni-mail NI MAIL 
62 | TCP,UDP | acas ACA Services 
63 | TCP,UDP | whois++ a Re Cn 
64 | TCP,UDP | covia Communications Integrator 通信 集成 者 
65 | TCP,UDP | tacacs-ds TACACS Database Service 
66 | TCP,UDP | sql x net Oracle SQL * Net 
| 
Bootstrap Protocol Client(often used by DHCP)7 引 导 程 序 书 
机 议 的 客户 端口 (通常 被 DHCP 使 用 ) ii 
69 | TCP,UDP | tftp Trivial File Transfer Protocol(RFC 1350) 简 单 文件 传输 协议 
70 | TCP,UDP | gopher 2 1436) 基 于 菜单 驱动 的 Internet 信息 
71 | TCP,UDP | netrjs-1 Remote Job Service 远程 工作 服务 
72 | TCP,UDP | netrjs-2 Remote Job Service 
73 | TCP,UDP | netrjs-3 Remote Job Service 
74 | TCP,UDP | netrjs-4 Remote Job Service 
75 | TCP,UDP | Reserved Any private dial out service 
76 | TCP,UDP | deos Distributed External Object Store 
77 | TCP,UDP | Reserved Any private RJE service 
78 | TCP,UDP | vettcp vettcp 
79 | TCP,.UDP | finger Finger Protocol (RFC 1288) 
80 | TCP,UDP | www,http Hyper Text Transfer Protocol 


续 表 


端口 | TCP/UDP 端口 名 称 说 明 
81 | TCP,UDP | hosts2-ns HOSTS2 Name Server 通常 用 于 HTTP 的 另 一 个 端口 
82 | TCP,UDP | xfer XFER Utility 
83 | TCP,UDP | mit-ml-dev MIT ML Device 
84 | TCP,UDP | ctf Common Trace Facility 
85 | TCP,UDP | mit-ml-dev MIT ML Device 
86 | TCP,UDP | mfcobol Micro Focus Cobol 
87 | TCP,UDP | Reserved Any private terminal link 
88 | TCP,UDP | kerberos Kerberos Protocol (RFC 1510 plus many drafts) 
89 | TCP,UDP | su-mit-tg SU/MIT Telnet Gateway 
90 | TCP,UDP | dnsix DNSIX Security Attribute Token Map 
91 | TCP,UDP | mit-dov MIT Dover Spooler 
92 | TCP,.UDP | npp Network Printing Protocol (RFC 1486?) 
93 | TCP,UDP | dcp Device Control Protocol 
94 | TCP,UDP | objcall Tivoli Object Dispatcher 
95 | TCP,UDP | supdup SUPDUP 
96 | TCP,UDP | dixie DIXIE Protocol Specification 
97 | TCP,UDP | swift-rvf Swift Remote Virtual File Protocol 
98 | TCP,UDP | tacnews TAC News 
99 | TCP,UDP | metagram Metagram Relay 
109 | TCP POP-2 邮局 协议 -2 
110 | TCP POP-3 邮局 协议 -3, 收 电子 邮件 服务 
111 | TCP,UDP | RPC 远程 过 程 调用 sunrpc 
123 | UDP NTP 网 络 时 间 协 议 
137 | UDP ee dp )S name service 或 NBNS, 网 络 基本 输入 输出 系统 名 
138 | UDP netbios-dgm 网 络 基 本 输入 输出 系统 
139 | UDP net BIOS 同上 
161 | UDP SNMP 简单 网 络 管理 协议 
162 | UDP SNMP-TRAP 简单 网 络 管理 协议 (陷阱 》 
179 | TCP BGP 边界 网 关 协 议 
443 | TCP https 安全 HTTP 协议 , 常 与 安全 套 接 层 协议 SSL/TLS 配合 使 用 
500 | UDP IPSec 安全 了 协议 
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端口 | TCP/UDP 端口 名 称 说 明 
520 | UDP RIP 路 由 选择 信息 协议 
800 | TCP DCS-2000,DCS-5300 
1718 | SCTP H. 323 IP 电话 
1719 
1720 
11720 
1723 | TCP PPTP Point-to-point tunneling protocol VPN 中 的 点 对 点 隧道 协议 
2904 | SCTP M2UA SS7 电话 系统 7 号 信 令 
2905 | SCTP M3UA SS7 电话 系统 7 号 信 令 
2945 | SCTP H. 248 媒体 网 关 控 制 
3389 | TCP MS 远程 桌面 
9990 | SCTP IUA ISDN over IP 在 综合 业务 数据 网 上 传输 IP 电话 
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附录 B 校 验 和 的 计算 


校 验 和 (checksum) 在 互联 网 协议 中 应 用 于 IP ICMP 和 UDP 的 头 部 数据 检 错 。 本 附 
录 介 绍 在 二 进 制 标记 法 中 如 何 计算 校 验 和 。 计 算 的 过 程 分 为 三 步 : 将 待 检测 的 数据 分 割 
为 16 位 长 的 分 段 ,用 带 进位 的 二 进 制 累加 算法 计算 出 部 分 和 ,四 将 计算 结果 中 左边 延长 出 
来 的 高 位 进位 数 , 移 到 最 右边 ,再 累加 求 和 ,@@ 取 和 的 反 码 得 到 校 验 和 ,然后 将 校 验 和 填 入 数 
据 包 中 的 指定 位 置 ,从 网 络 发 送出 去 。 接 收 方 收 到 数据 包 后 ,按照 与 发 送 方 相同 的 方法 求 
和 ,如 果 最 后 的 计算 结果 等 于 16 个 1, 则 证 明 传输 无 误 ,否则 说 明 传输 出 错 。 关 于 二 进 制 校 
验 和 的 计算 过 程 ,下 面 利用 图 B. 1 来 说 明 。 


1 一 一 一 一 一 一 一 一 一 一 一 一 来 自 第 16 列 的 进位 
LL 来 自 第 15 列 的 进位 


1 
了 
该 列 应 该 加 1 


到 部 分 和 中 


00 一 来自 第 2 列 的 进位 
11 一 一 来 自 第 1 列 的 进位 


1 
0 0 一 一 一 来自 第 3 列 的 进位 
1 


1001 1001 0001 0 
0000 1000 0110 1 
1010 1011 0000 0 
0000 1110 0000 1 
0000 0000 0001 0 
0000 0000 0000 1 
0000 0100 0011 1 
0000 0000 0000 1 
0000 0000 0000 1 
0000 0000 0000 0 
0101 0100 0100 0 
0101 0011 0101 0 
0100 1001 0100 1 
0100 0111 0000 0 

1 


1001 0110 1110 


cilc-o00-o--o-—-o~— 
eg 


部 分 和 


图 B.1 先 用 二 进 制 算法 计算 出 部 分 和 


B.1 部 分 和 的 计算 


首先 计算 部 分 和 ,如 图 B. 1 所 示 。 先 从 右边 第 一 列 开始 进行 求 和 计算 ,如 果 有 进位 ,可 
将 右边 列 的 和 的 高 进位 加 到 左边 一 列 。 注 意 几 点 : 
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(1) 当 进 行 右边 第 1 列 求 和 时 ,得 到 的 结果 为 7。 十 进 制 数 7 的 二 进 制 形式 是 111。 此 
时 保留 最 右边 的 1 ,然后 将 其 余部 分 分 别 进位 到 右边 第 2 列 和 第 3 列 中 。 

(2) 对 右边 第 2 列 求 和 时 ,要 包括 来 自 右 第 1 列 的 进位 。 所 得 的 结果 为 8, 其 二 进 制 形 
式 为 1000。 此 时 保留 最 右边 第 一 位 ,然后 将 其 余部 分 (100) 分 别 进位 到 右 第 3 列 . 第 4 列 和 
第 5 列 中 。 

(3) 对 每 列 的 求 和 重复 以 上 过 程 。 

(4) 当 加 到 最 左 一 列 后 ,得 到 两 个 进位 1, 并 且 没 有 剩余 列 可 加 。 在 下 一 步 中 将 这 两 个 
1 加 到 “部 分 和 ”的 尾部 (最 右 位 ) 中 。 


B.2 和 的 计算 


如 果 最 左 一 列 没有 进位 ,那么 部 分 和 就 是 最 后 的 和 。 然 而 ,如 果 存 在 附加 的 列 ( 在 下 例 
中 ,存在 最 右 一 列 , 并 且 它 有 两 行 ,图 B.1 左上 角 ), 则 需 把 它们 加 到 部 分 和 中 才能 得 到 最 后 
的 和 。 图 B.2 说 明了 其 计算 过 程 ,此 时 就 可 得 到 最 后 的 和 。 


1 来 自 第 一 列 的 进位 
1001 0110 1110 1001 部 分 和 


图 B.2 将 部 分 和 与 第 16 列 的 进位 相 加 得 和 , 取 反 得 校 验 和 


B.3 ” 校 验 和 的 计算 


在 和 计算 出 来 之 后 ,对 其 逐 位 求 补 就 可 以 得 到 校 验 和 。 图 B. 2 说 明了 校 验 和 的 计算 

上 述 校 验 和 的 计算 采用 用 二 进 制 数 计算 ,实际 应 用 案例 参看 图 5.4 UDP 校 验 和 的 计算 
举例 。 校 验 和 的 计算 也 可 以 用 十 六 进 制 数 进行 ,基本 方法 与 二 进 制 的 算法 相同 。 实 际 应 用 
参看 图 4. 21 IPv4 头 部 校 验 和 的 计算 举例 。 
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附录 C 各 种 进 制 的 数值 换算 与 IPv4 地 址 


计算 机 网 络 中 使 用 的 计数 系统 有 十 进 制 系统 二进制 系统 .八进制 系统 .十 六 进 制 系统 、 
1 这 256 进 制 系统 等 。 所 有 的 这 些 计数 系统 中 一 个 数 的 符号 值 与 
1[417[s[2] 一 一 符号 它 的 位 置 有 关 , 即 一 个 符号 的 值 取决 于 它 与 其 他 符号 的 相对 位 
向 1 雪人 信人 i 四。 一 个 n 位 数 中 的 每 个 符号 都 有 位 置 ,这 些 位 置 表示 为 0， 
人 2 一 1。 例 如, 十进制 数 14782 中 有 5 个 符号 ,位 置 分 别 
是 0.1.2.3.4, 如 图 C. 1 所 示 。 不 同 的 计数 系统 之 问 的 差别 ,在 于 指定 给 每 个 位 置 的 加 
权 值 。 


C.1 十 进 制 数 


十 进 制 计数 是 使 用 最 广泛 的 系统 ,其 他 计数 系统 相互 转换 时 ,经 常 把 它们 的 值 先 转换 到 
十 进 制 , 再 由 十 进 制 转换 为 男 一 个 系统 。 十 进 制 计数 系统 中 使 用 10 个 符号 来 表示 量 值 : 0、 
L12534,5,6,7s839, 

加 权 值 : 十 进 制 计数 系统 中 每 个 符号 的 加 权 值 等 于 10 的 i 次 方 ,i 为 该 符号 的 位 置 。 例 
如 ,十 进 制 数 14782 二 1X10' 十 4X10; 十 7X10? 十 8X10! 十 2X10"。 


C.2 二 进 制 数 与 十 进 制 数 的 转换 


所 有 计算 机 系统 的 运行 都 是 基于 二 进 制 计数 系统 的 。 计 算 机 的 工作 通过 电路 中 电流 的 
有 或 无 来 进行 ,二 进 制 计 数 系统 有 两 个 符号 1 和 0, 可 分别 对 应 电路 的 两 个 状态 。 
加 权 值 : 在 二 进 制 计数 中 ,每 个 符号 的 权 值 等 于 


1 0 0 0 二 = 三 进 制 数 
2 的 i 次 方 ,i 是 该 符号 的 位 置 ,如 图 C.2 所 示 。 6432316 8 4 2 1 一 - 权 值 
将 二 进 制 数 转换 为 十 进 制 数 : 将 每 个 符号 与 它 图 C.2 二 进 制 数 的 权 值 


的 权 值 相 乘 ,然后 相 加 ,得 到 十 进 制 数 。 例 如 ,二 进 
制 数 101110 转换 为 十 进 制 数 的 过 程 如 下 : 
1001110 一 1X2 二 0X25 十 0X2 十 1X2 十 1X22 十 1X2 十 0X2 
一 64 十 8 十 4 十 2 一 78 

将 十 进 制 数 转换 为 二 进 制 数 : 将 该 十 进 制 数 除 以 2 并 写 下 余数 (1 或 0) ,该 余数 就 是 二 
进 制 的 最 低位 数 ( 右 边 第 1 位 )。 然 后 再 将 所 得 的 商 除 以 2 并 得 到 第 2 个 余数 (1 或 0) ,这 就 
是 二 进 制 数 的 右边 第 2 位 。 重 复 此 步骤 ,直到 商 为 0。 将 十 进 制 数 78 转换 为 二 进 制 数 的 过 
程 , 如 图 C. 3 所 示 。 
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一 - 除 以 2 后 所 得 的 商 。 ”十进制 数 


0 | 中 1 2 4 9 19 (= 39 (= 78 


二 进 制 数 
图 C.3 十 进 制 数 转换 为 二 进 制 数 举例 


C.3 十 六 进 制 数 与 十 进 制 数 的 转换 


用 十 六 进 制 数 来 表示 很 长 的 二 进 制 数 是 很 方便 和 简捷 的 。 例 如 ,用 十 六 进 制 数 来 表示 
以 太 网 的 48 位 的 MAC 物理 地 址 ,以 及 IPv6 的 128 位 互联 网 地 址 等 。 十 六 进 制 数 有 16 个 
符号 ,分 别 是 0.1.2.3.4.5.6.7.8.9.A.B.C.D.E.F。 其 中 为 了 避免 与 十 进 制 数 的 混淆 ,用 
字母 代替 数值 : A 一 10,B>11,C 一 12,D 一 13,E 一 14,F 一 15。 表 达 十 六 进 制 数 时 ,前 面 加 
“0x”, 如 0x3A73 。 

将 十 六 进 制 数 转换 为 十 进 制 数 : 把 每 个 符号 乘 以 16 的 i 次 方 ,i 是 该 符号 的 位 置 ,然后 
将 它们 的 结果 相 加 就 得 到 对 应 的 十 进 制 数 。 例 如 ,将 十 六 进 制 数 0x3A73 转换 为 十 进 制 数 ， 

3X16’ 十 AX16? 十 7X16! 十 3X16 = 二 3X4096 十 10X256 十 7X16 十 3 = 14 963 

将 十 进 制 数 转换 为 十 六 进 制 数 : 方法 与 十 进 制 转换 为 二 进 制 数 相同 。 将 十 进 制 数 除 以 
16, 得 到 第 1 个 余数 ,这 就 是 十 六 进 制 数 的 右边 第 1 位 。 再 将 商 除 以 16, 得 到 的 余数 是 十 六 
进 制 数 的 右边 第 2 位 ,如 此 重复 下 去 ,直到 商 为 0。 将 十 进 制 数 14 963 转换 为 十 六 进 制 数 ， 
如 图 C.4 所 示 。 


一 - 除 以 16 后 所 得 的 商 。 十 六 进 制 数 


0 -| 3 | 58 |-=|935|-=|14963 
1 1 1 1 ' 
3 A 
十 六 进 制 数 


图 C.4 将 十 六 进 制 数 转换 为 十 进 制 数 举例 


C.4 256 进 制 数 与 十 进 制 数 的 转换 


互联 网 IPv4 地 址 是 32 位 的 二 进 制 数 ,为 了 便于 记忆 , 常 转换 为 4 组 256 进 制 数 表示 ， 
每 一 组 256 进 制 数 可 代表 8 位 二 进 制 数 。 这 种 IPv4 的 地 址 表达 方式 也 可 称 为 “用 点 分 段 的 
十 进 制 数 (dotted decimal)”。 例 如 ,IP 地 址 131. 32.7.8, 就 是 4 组 256 进 制 的 数 。256 进 制 
数 需要 使 用 256 个 不 同 的 专用 符号 ,但 是 会 显得 十 分 繁杂 。IPv4 地 址 的 设计 者 使 用 十 进 制 
数 符号 0 一 255 作为 256 进 制 的 符号 ,用 点 “. "作为 符号 的 边界 ,将 甚 隔 开 ,并 作为 两 种 进 制 
数 的 区 别 。 例 如 ,IP 地 址 131. 32.7.8, 由 8、7、32 和 131 这 4 个 符号 所 构成 。 有 4 个 位 置 序 
时 0 

(1) 权 值 : 在 256 进 制 数 中 ,一 个 符号 的 权 值 等 于 256 的 i 次 方 ,i 为 该 符号 的 位 置 。 
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(2) 将 IPv4 地 址 转换 为 十 进 制 数 : 同样 是 将 每 个 符号 乘 以 它 的 权 值 , 再 相 加 。 
例如 ,将 IP 地 址 131. 32.7. 8 转换 为 十 进 制 数 的 计算 过 程 如 下 : 
131 X 256: 十 32X2562 十 7 X 256! 十 8X 256° 
一 2197815 296 十 2097152 十 1792 十 8 二 2 199 914 248 
(3) 将 十 进 制 数 表示 的 IPv4 地 址 转换 为 256 进 制 数 表示 : 将 该 十 进 制 数 除 以 256 后 得 
到 的 余数 就 是 IP 地 址 的 第 4 字 节 ,再 将 商 除 以 256 后 得 到 的 余数 作为 IP 地 址 的 第 3 字 节 ， 
重复 此 步骤 3 次 ,得 到 IP 地 址 的 4 个 字 节 数 。 注 意 , 因 为 IP 地 址 分 为 4 段 ,但 得 到 4 个 值 
后 就 停止 。 将 十 进 制 数 2 199 914 248 转换 为 IPv4 地 址 ,如 图 C.5 所 示 。 


一 一 除 以 256 后 所 得 的 商 十 进 制 数 


131 [= 33568 [= 8593415 (=| 2 199 914 248 
[3 32 7 8 除 以 256 后 


en 


图 C.5 将 十 进 制 数 转换 为 IPv4 地 址 


在 Wireshark 等 捕获 的 原始 网 络 数 据 中 ,IPv4 地 址 也 是 用 十 六 进 制 数 表示 的 。 


C.5 计算 举例 : IPv4 地 址 的 4 种 数值 表达 方式 


上 例 中 的 IPv4 地 址 (131. 32.7. 8) 可 以 换算 为 如 下 4 种 表示 方式 : 

(1) 用 256 进 制 数 表示 为 : 131. 32.7.8。 

(2) 用 十 六 进 制 数 表示 为 : 83-20-07-08( 提 示 : 将 131 除 16 , 商 为 8, 余数 为 3, 得 0x83， 
余 同 ) 。 

(3) 用 二 进 制 数 表 示 为 : 10000011 00100000 00000111 00001000( 提 示 : 0x83 转 为 
1000 0011) 。 

(4) 用 十 进 制 数 表示 为 : 2 199 914 248( 算 法 见 C. 4 举例 ) 。 

请 参照 上 述 方 法 练习 ,将 自己 网 络 计算 机 的 IPv4 地 址 转换 为 4 种 不 同 的 表达 方式 。 
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附录 D CRC 循环 元 余 校 验 码 的 计算 


在 很 多 数据 通信 系统 和 局 域 网 中 使 用 循环 元 余 校 验 码 (Cyclic Redundancy Check， 
CRC) 对 数据 传输 过 程 中 产生 的 误 码 进行 检 错 。CRC 是 一 种 功能 十 分 强大 的 误 码 检测 技 
术 , 使 用 方法 很 简单 ,但 是 工作 原理 涉及 较 复杂 的 数学 知识 ,这 里 仅 从 使 用 的 角度 对 其 运算 
过 程 进行 介绍 。 


D.1 数组 的 运算 可 以 转换 为 多 项 式 的 运算 


对 于 任何 进 制 的 数组 都 可 用 一 个 多 项 式 来 表达 ,从 而 可 以 将 对 数组 的 运算 转换 为 多 项 
式 之 间 的 运算 ,再 将 多 项 式 的 运算 结果 转换 为 数组 ,就 等 于 数组 运算 的 结果 。 这 样 将 数组 的 
运算 转换 为 多 项 式 的 运算 ,好 处 是 对 CRC 使 用 方法 的 学 习 掌 握 较 直 观 , 不 易 出 错 。 

例如 : 

十 进 制 数 546 可 表达 为 5X10? 十 4X10! 十 6X10" 一 多 项 式 5x? 十 4x 十 6 

十 六 进 制 数 3A07 可 表达 为 3X16 十 10X16 十 0X16 十 7X16 一 多 项 式 
So 十 1022 十 7 

二 进 制 数 1101 可 表达 为 1X23 十 1X22 十 0X2 十 1X20 一 多 项 式 x 十 zx? 十 1 

从 以 上 这 3 个 不 同 进 制 数组 的 多 项 式 表达 中 可 以 看 到 ,可 以 用 x 来 代表 各 种 数组 的 进 
制 ,在 多 项 式 运 算 的 过 程 中 ,只 需要 对 相同 位 置 的 系数 进行 计算 。 

把 每 个 二 进 制 数组 转换 为 多 项 式 后 ,这 些 多 项 式 中 各 系数 之 间 的 运算 也 遵循 二 进 制 的 
模 2 和 的 算法 规则 , 即 1@80=1,1@1=0,0@80==0, 十 1 1 

(1) 两 个 二 进 制 系数 多 项 式 的 相 乘 : 按照 多 项 式 的 相 乘法 则 ,以 及 二 进 制 系数 的 模 2 和 
的 规则 ,进行 两 个 多 项 式 的 相 乘 : 

CX 二 
i 于 证 ZT: 十 ZX 二 7X 十 x 十 x 十 z 

上 述 多 项 式 的 运算 过 程 等 效 于 二 进 制 数 的 运算 : 101110 * 111 王 11001010。 

(2) 两 个 二 进 制 系数 多 项 式 的 相 除 : 也 是 按照 多 项 式 相 除 的 法 则 和 二 进 制 系数 模 2 和 
的 运算 规则 进行 运算 。 


D. 2 数据 通信 系统 中 CRC 码 的 使 用 方法 


在 一 个 数据 通信 系统 中 的 发 送 端 和 接收 端 必须 事先 约定 使 用 同样 的 生成 多 项 式 来 计算 
CRC 码 。 生 成 多 项 式 必须 满足 条 件 : 不 能 被 x 整除 ;能 够 被 x 十 1 整除 。 
不 同 的 通信 系统 采用 不 同 的 标准 生成 多 项 式 , 如 表 D. 1 所 示 。 
发 送 端 将 要 发 送 的 数据 转换 为 数据 多 项 式 ,使 用 生成 多 项 式 去 除数 据 多 项 式 ,得 到 余数 
多 项 式 ,将 其 转换 为 所 需要 的 CRC 码 , 附 加 在 数据 的 尾部 发 送 给 接收 端 。 接收 端 用 同样 的 
生成 多 项 式 去 除 收 到 的 数据 码 和 CRC 码 的 组 合 ,如 果 余 数 为 0, 则 表示 传输 无 误 ,接收 端 将 
» 423 。 


表 D.1 数据 通信 系统 中 的 标准 生成 多 项 式 


名 字 生成 多 项 式 应 用 系统 
CRC-8 | 让 让 二 1 | ATM 头 部 
CRC-10 | | | ATM AAL 
ITU-16 区 生病 生 1 | HDLC 


ITU-32 | X*? 十 x 十 zx 十 x 十 zx 十 十 十 xz 十 十 如 十 十 zx 十 民 十 z 十 1 | 局 域 网 


收 到 的 尾部 CRC 码 去 掉 , 取 出 数据 码 送 给 上 层 处 理 。 如 果 接 收 端 用 同样 的 生成 多 项 式 去 除 
的 结果 不 为 0, 则 说 明 传输 过 程 中 产生 了 误 码 ,将 数据 抛弃 ,通知 对 方 重新 发 送 。 

例如 : 有 一 个 通信 系统 ,收发 双方 采用 的 生成 多 项 式 为 (zx? 十 1) ,该 生成 多 项 式 满 足 上 
述 两 个 条 件 。 现 在 发 送 端 要 发 送 数据 1001010 给 接收 方 。 双 方 的 处 理 过 程 如 下 : 

(1) 发 送 端 : 将 数据 1001010 转换 为 数据 多 项 式 (X" 十 袜 十 z), 用 生成 多 项 式 去 除 它 ， 
过 程 如 下 : 


X14+X2+X+l 一 一 商 (10111) 的 多 项 式 
xX2+1 [x 于 ”一 一 要 发 送 数 据 (1001010) 
2 X+X4 的 多 项 式 
生成 多 项 式 XHXI +X 
(101) 一 ”次 小 这 

XItX2+X 

X3+ XX 余数 多 项 式 的 阶 数 

2 比 生成 多 项 式 少 1 阶 
| 


1 ”一 一 余数 (01) 的 多 项 式 

在 此 多 项 式 相 除 的 过 程 中 ,注意 系数 的 计算 要 遵循 上 述 模 2 和 的 运算 规则 。 除 的 结果 
得 到 了 商 多 项 式 和 余数 多 项 式 ( 不 能 整除 ) ,最 后 的 余数 多 项 式 的 阶 数 应 当 小 于 生成 多 项 式 
的 阶 数 1 阶 , 否 则 还 可 以 再 除 下 去 。 计 算 结 果 中 的 商 多 项 式 无 用 。 将 余数 多 项 式 (1) 转 换 为 
对 应 的 二 进 制 码 (01) ,这 就 是 发 送 端 需要 的 CRC 码 。 

发 送 端 将 CRC 码 附 加 在 数据 码 尾 部 ,形成 要 发 送出 去 的 码 字 100101001。 

(2) 接收 端 : 假设 接收 端 收 到 的 码 字 为 100101001, 它 对 应 的 码 字 多 项 式 为 十 zx’ 十 x 
十 1。 为 了 检测 收 到 的 数据 是 否 有 错 , 接 收 端 用 与 发 送 端 相同 的 生成 多 项 式 去 除 收 到 的 这 个 
码 字 多 项 式 ,过 程 如 下 : 


6+X4+X3HX?2+1 ”一 一 商 多 项 式 


X2H XX 叶 。 XX X31 ”一 一 接收 到 的 码 字 
4 


_X 叶 X56 (100101001) 的 

生成 多 项 式 XtXS +XI+l 多 项 式 
(101) 
XtX4+X3+1 
Xt+ X3 
X+ +1 
Y4+X2 
X2+1 


一 Xt+1 余数 多 项 式 为 (00)， 
0+0 说 明 接收 到 的 数据 正确 


此 多 项 式 相 除 的 结果 是 余数 多 项 式 为 (00) ,由 此 说 明 接 收 的 数据 正确 。 接 收 端 将 接收 
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到 的 码 字 的 最 后 两 位 (01) 抛 弃 , 取 出 数据 (1001010) 送 到 接收 端的 上 层 。 因 为 接收 端的 生成 
多 项 式 是 3 位 ,因此 它 知道 末尾 的 CRC 码 是 两 位 。 

如 果 接 收 端 收 到 的 码 字 有 错 ,那么 用 生成 多 项 式 去 除 ,余数 就 不 会 等 于 (00) ,由 此 判断 
收 到 的 数据 有 误 。 

CRC 的 检 错 性 能 : 

Q@ CRC 能 够 检测 到 所 有 奇数 个 比特 的 突 发 性 错误 ( 即 连续 的 误 码 ) 。 

@ CRC 能 够 检测 到 所 有 长 度 小 于 或 等 于 生成 多 项 式 的 阶 数 的 突 发 性 错误 。 

@ CRC 能 够 以 非常 大 的 概率 检测 到 长 度 大 于 生成 多 项 式 的 阶 数 的 突 发 性 错误 。 
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附录 EE ”素数 与 模 运 算 的 基本 概念 


素数 与 模 运 算 在 网 络 信息 安全 技术 中 得 到 广泛 应 用 ,本 附录 介绍 这 方面 的 基本 知识 。 
这 里 讨论 的 数 都 为 正 整数 ,所 得 到 的 结论 也 适用 于 负 整 数 。 


E.1 素数 与 互 素数 


1， 除数 或 因子 
如 果 0 天 0,a=m0 ,那么 4a 二 b= 二 m ,余数 为 零 ,b 能 整除 a,b 是 a 的 一 个 因数 , 记 为 bla。 
例如 ,24 的 正 因数 为 1.2、3、4、6、8、12 和 24。 有 如 下 关系 成 立 : 


(1) 如 果 al1, 那 么 a = 土 1。 

(2) 如 果 alb, 而 且 bla, 那 么 a== 土 6。 

(3) 任何 不 等 于 0 的 5, 可 以 整除 0。 

(4) 如 果 blg, 并 且 51h, 那 么 51 Gmg 十 nh) ,其 中 加 和 7 为 任意 整数 。 

2. 素数 

如 果 p 二 1, 并 且 能 够 整除 p 的 数 只 有 士 1 和 士 p, 那 么 p 是 一 个 素数 。 素 数 在 信息 安全 
和 加 密 技术 中 有 重要 的 用 途 。 

任何 大 于 1 的 整数 a, 都 可 以 表示 为 : 4 二 p22… pr , 式 中 pp 、ps、…p, 都 为 素数 ,并 且 
a>0。 如 91=7X13,11011=7X112X13 。 

上 式 也 可 以 表达 为 另 一 种 简洁 的 方式 : 如 果 p 为 一 组 素数 .那么 任何 正 整 数 a 都 可 以 
唯一 表达 为 

a= [zp%， 式 中 ww 三 0 
pb 


对 于 任何 一 个 给 定 的 正 整 数 ,指数 a, 中 的 大 多 数 将 等 于 0, 因 此 都 可 以 将 其 表达 为 非 
零 指 数 的 素数 的 集合 。 例 如 ,整数 12 可 以 表达 为 {a 二 2,a; 一 1}, 整数 18 可 以 表达 为 
{az 二 1,as 二 2)}。 两 个 同 底 的 数 相 乘 等 效 于 将 对 应 的 指数 相 加 。 

任何 具有 大 形式 的 整数 ,只 能 被 指数 小 于 或 等 于 k 的 同样 底 的 素数 p’ 整除 ,jk。 

3. 互 素 数 

a 和 bb 的 最 大 公约 数 (greatest common divisor) 表 示 为 gcd (a,b)。 满 足下 述 条 件 的 正 
整数 c 被 称 为 a 和 4 的 最 大 公约 数 : c 是 a 和 2 的 一 个 因数 ,a 和 2 的 任何 因数 也 是 c 的 一 个 
因数 。 

可 以 用 公式 将 此 定义 表达 为 gcb (a,0) 二 max [k ,满足 &la 和 k&|b ] 
因为 需要 的 最 大 公约 数 是 正 的 ,因此 gcb(a,b) 二 gcb( 一 a,6) 二 gcb(a, 一 b) 二 gcb( 一 a， 
一 0) ,通常 gcb(a.0) 二 gcb(|a| ,151)。 另 外 ,由 于 所 有 非 零 整数 都 是 0 的 因数 ,因此 gcb(a,0)== 
lal。 例如, gcb (60.24) 一 gcb(60, 一 24) 一 12。 
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如 果 将 每 个 整数 都 表达 为 素数 的 乘积 ,就 很 容易 找 出 它们 的 最 大 公约 数 ,例如 ， 
300 王 区 双 划 次 革 1 00118) 二 外 光 各 多 交 二 多 
通常 k 一 gcb(a,0) 一 一 min(a,,b,), 对 于 全 部 p 要 找 出 一 个 大 数 的 素数 ,并 不 是 容易 的 
事 , 因 此 上 述 关系 不 能 直接 导出 一 种 计算 最 大 公约 数 的 方法 。 
如 果 a 和 4 除了 公共 因子 1 以 外 ,没有 其 他 共同 的 素数 因子 , 则 a 和 4。 互 素 。 即 如 果 
gcb(a ,6) 二 1, 那 么 a 和 6 互 素 。 例 如 ,8 的 因数 为 1.2、4 和 8. 而 15 的 因数 为 1.3、5 和 15, 只 
有 1 为 公 因 数 ,因此 8 和 15 为 互 素 。 


E.2 模 运 算 的 儿 个 规则 


利用 模 运 算 的 规则 ,可 以 简化 网 络 安全 中 的 很 多 运算 过 程 。 见 图 10. 13 的 例子 。 给 定 整 
数 nn 和 a, 如 果 用 来 除 a, 那 么 就 能 够 得 到 商 g 和 余数 7, 且 满足 下 列 关 系 : 

a=qant+r 0<r<n; g= [a+n] 
其 中 [zj] 是 指 小 于 或 等 于 z 的 最 大 整数 ,~ 为 余数 。 

1. 模 运算 的 定义 

如 果 a 是 整数 ,n 是 正 整 数 ,那么 定义 : 

(a mod n) 等 于 用 nn 去 除 a 所 得 的 余数 r。 因 此 ,对 于 任何 整数 ,可 以 把 它 写成 下 列 形式 : 

a= [a/n] Xn+t(a modn) 

如 果 (a mod n) 二 (5 mod nn) ,那么 称 为 整数 a 和 5 模 nn 同 余 。 

例如 ,73 三 4 mod 23;21 三 一 9 mod 10 。 注 意 : 如 果 a 三 0 mod n ,那么 aln。 其 中 “三 "表示 

2. 模 运算 符 具 有 的 性 质 

(1) 如 果 nl (a 一 站 ,那么 a 三 b mod n。 

(2) 如 果 (a mod nn) 二 (5 mod nn) ,那么 a 三 b mod n。 

(3) 如 果 a 三 (5 mod n) ,那么 0 一 a mod n。 

(4) 如 果 a 三 6 mod n, 那 么 一 c mod n。 

第 (1) 条 性 质 的 证 明 如 下 : 如 果 nl (a 一 5) ,那么 存在 上 满足 (a 一 ) 二 有 。 所 以 等 a 二 5b 十 kn 
成 立 。 因 此 ,(a mod n) 就 等 于 N 整除 (6 十 kn) 所 得 余数 ,所 以 (a mod n) 二 (5 mod n)。 其 余 的 
几 条 性 质 用 相同 的 办 法 很 容易 证 明 。 

(mod 7 运算 把 所 有 的 整数 都 映射 到 整数 集合 {0.1,…'(z 一 1)} 中 ,并 可 在 这 个 集合 的 范 
围 内 执行 算术 运算 ,这 种 技术 称 模 运算 。 

3. 模 运 算 具 有 的 性 质 

(1) [(a mod D+(b mod 7) ] mod 2 一 (十 0) mod 

(2) [(a mod WD —(b modn) ] mod n=(a—b) mod 7 

(3) [(a mod n) X (b mod n) ] mod n=(aXb) modn 

证 明 第 (1) 条 性 质 : 定义 (a mod n) 二 7 ,(b mod n) 二 r,。 存 在 整数 7 和 上 满足 等 式 4a 二 x, 十 
jn,b 二 十 kn, 那 么 


(at+b) mod n= (nin+rnt+h) modn 
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一 (nn 二 (k++)n) modn 

= (nTn) modn 

一 [Co mod 7z) 十 (CO modn)| modn 
使 用 前 面 的 方法 可 以 很 容易 证 明 其 余 性 质 。 
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附录 了 ”ASCII 编码 表 


任何 文字 和 字符 必须 转换 为 二 进 制 的 数据 才能 在 计算 机 和 数据 通信 系统 中 使 用 ,美国 国 
家 信息 交换 标准 代码 (ASCID 是 最 常 使 用 的 字符 编码 标准 。 标 准 ASCII 码 也 叫 基 础 ASCI 码 ， 
使 用 7 位 二 进 制 数 来 表示 所 有 的 大 写 和 小 写字 母 , 数 字 0~9、 标 点 符号 ,以 及 在 美式 英语 中 使 
用 的 特殊 控制 字符 。ASCII 使 用 7 比特 的 二 进 制 数 对 每 个 字符 进行 编码 ,因此 7 位 二 进 制 数 
可 以 表示 128 个 符号 。 表 下 中 列 出 了 ASCII 符号 二进制 ,十进制 和 十 六 进 制 的 编码 对 照 , 以 
及 描述 。 

在 标准 ASCII 编码 中 ,其 最 高 位 (b7) 用 作 奇 偶 校 验 位 。 所 谓 奇偶 校 验 是 指 在 代码 传送 过 
程 中 用 来 检验 是 否 出 现 错误 的 一 种 方法 ,一 般 分 奇 校 验 和 偶 校 验 两 种 。 奇 校 验 规定 : 正确 的 
代码 一 个 字 节 中 1 的 个 数 必 须 是 奇数 ,若非 奇数 , 则 在 最 高 位 b7 添 1。 偶 校 验 规定 : 正确 的 代 
码 一 个 字 节 中 1 的 个 数 必须 是 偶数 ,若非 偶数 , 则 在 最 高 位 b7 添 1 。 

扩展 ASCII 编码 使 用 8 位 二 进 制 数 ,目前 许多 基于 x86 的 系统 都 支持 使 用 扩展 ASCII 编 
码 。 扩 展 ASCII 码 允 许 将 每 个 字符 的 第 8 位 用 于 确定 附加 的 128 个 特殊 符号 字符 、 外 来 语 字 
母 和 图 形 符号 。 

网 络 传输 的 数据 流 中 包含 各 种 各 样 协议 格式 的 二 进 制 数据 信息 。 本 书 中 采用 的 网 络 协议 
分 析 工 具 软 件 Wireshark 的 功能 之 一 就 是 将 网 络 数据 流 中 的 ASCII 编码 的 二 进 制 数据 转换 为 
可 读 的 文字 符号 。 在 网 络 原理 的 教学 中 ,通过 Wireshark 主 界面 的 下 部 窗 格 中 原始 数据 与 
ASCII 码 的 对 照 关 系 ,可 有 助 于 理解 互联 网 的 信息 编码 传输 过 程 。 在 网 络 安全 数据 监管 中 , 利 
用 此 表 可 对 各 种 网 络 恶 意 代 码 进 行 特 征 码 的 取样 分 析 与 破译 ,参看 图 7. 11。 


表 F 标准 ASCII 编码 表 


十 进 制 格式 十 六 进 制 格式 - 进 制 格式 符 号 描 述 
0 00 0000000 NUL 无 含义 
L 01 0000001 SOH 头 部 开始 
02 0000010 STX 文本 开始 
汪 03 0000011 ETX 文本 结束 
4 04 0000100 EOT 传输 结束 
5 05 0000101 ENQ 查询 
6 06 0000110 ACK 确认 
7 07 0000111 BEL 铃 
8 08 0001000 BS 退 格 
9 09 0001001 HT 横向 制 表 
10 0A 0001010 LF 换行 
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学 | 六 
油 


十 进 制 格式 十 六 进 制 格式 二 进 制 格式 符 号 描 
11 0B 0001011 VT 纵向 制 表 
12 oC 0001100 FF 走 纸 
13 oD 0001101 CR 回 车 
14 OE 0001110 SO 移出 
15 OF 0001111 SI 移入 
16 10 0010000 DLE 数据 链 路 换 码 
如 11 0010001 DC1 设备 控制 1 
18 12 0010010 DC2 设备 控制 2 
19 13 0010011 DC3 设备 控制 3 
20 14 0010100 DC4 设备 控制 4 
21 15 0010101 NAK 否定 确定 
22 16 0010110 SYN 同 # 
23 17 0010111 ETB 传输 分 组 的 结尾 
24 18 0011000 CAN 删除 
25 19 0011001 EM 介质 结束 
26 1A 0011010 SUB 代 换 
27 1B 0011011 ESC 退出 
28 iC 0011100 FS 文件 分 隔 符 
29 1D 0011101 GS 组 分 隔 符 
30 1E 0011110 RS 记录 分 隔 符 
31 1F 0011111 US 单元 分 隔 符 
32 20 0100000 SP 空格 
33 21 0100001 ! 感叹 号 
34 22 0100010 到 双 引 号 
35 23 0100011 ## 井 号 
36 24 0100100 $ 美元 符号 
37 25 0100101 % 百 分 号 
38 26 0100110 & 表示 and 的 字符 
39 Ez 0100111 号 
40 28 0101000 ( 左 括号 
41 29 0101001 ) 右 括号 
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十 进 制 格式 十 六 进 制 格式 二 进 制 格式 
42 2A 0101010 
43 2B 0101011 
44 2C 0101100 
45 2D 0101101 
46 2E 0101110 
47 2F 0101111 
48 30 0110000 
49 1 0110001 
50 32 0110010 
51 33 0110011 
52 34 0110100 
53 35 0110101 
54 36 0110110 
55 37 0110111 
56 38 0111000 
57 39 0111001 
58 3A 0111010 
59 3B 0111011 
60 3C 0111100 
61 3D 0111101 
62 3E 0111110 
63 3F 0111111 
64 40 1000000 
65 41 1000001 
66 42 1000010 
67 43 1000011 
68 44 1000100 
69 45 1000101 
70 46 1000110 
71 47 1000111 
72 48 1001000 


沁 | 深 


由 


沁 | 小 


十 进 制 格式 十 六 进 制 格式 二 进 制 格式 符 号 描 
73 49 1001001 I 
74 4A 1001010 | 
75 4B 1001011 K 
76 4C 1001100 L 
77 4D 1001101 M 
78 4E 1001110 N 
79 4F 1001111 O 
80 50 1010000 P 
81 51 1010001 Q 
82 52 1010010 R 
83 53 1010011 S 
84 54 1010100 T 
85 55 1010101 U 
86 56 1010110 V 
87 57 1010111 Ww 
88 58 1011000 X 
89 59 1011001 YY 
90 5A 1011010 芝 
91 5B 1011011 [ 左 方 括号 
92 5C 1011100 \ 反 斜 杠 
93 5D 1011101 ] 右 方 括号 
94 5E 1011110 脱 字符 
95 5F 1011111 下 划 线 
96 60 1100000 重音 符号 
97 61 1100001 a 
98 62 1100010 b 
99 63 1100011 c 
100 64 1100100 d 
101 65 1100101 e 
102 66 1100110 f 
103 67 1100111 g 


十 进 制 格式 十 六 进 制 格式 二 进 制 格式 符 号 描 述 
104 68 1101000 h 
105 69 1101001 i 
106 6A 1101010 j 
107 6B 1101011 k 
108 6C 1101100 1 
109 6D 1101101 m 
110 6E 1101110 n 
111 6F 1101111 o 
112 70 1110000 p 
113 71 1110001 q 
114 12 1110010 r 
115 73 1110011 s 
116 74 1110100 t 
LF 75 1110101 u 
118 76 1110110 v 
119 77 1110111 w 
120 78 1111000 x 
121 79 1111001 y 
122 7A 1111010 z 
123 7B 1111011 { 左 大 括号 
124 7 1111100 竖 杠 
125 7D 1111101 } 右 大 括号 
126 7E 1111110 ~ 代 字 号 
127 7F 1111111 DEL 删除 
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